Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年3月20日

エラーメッセージの表示内容に注意する

例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか?

パスワードが異なります。

これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。

ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。

ユーザー ID または パスワードが異なります。

こうすることで、攻撃者に手がかりを与えないことができます。

また、環境によりシステムエラーの内容がそのまま利用者に表示されてしまうことがあります。そうした環境では、システムエラーの内容が利用者に表示されないよう設定を行うようにしてください。


スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA