Webセキュリティの小部屋

例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか？

パスワードが異なります。

これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。

ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。

ユーザー ID または パスワードが異なります。

こうすることで、攻撃者に手がかりを与えないことができます。

また、環境によりシステムエラーの内容がそのまま利用者に表示されてしまうことがあります。そうした環境では、システムエラーの内容が利用者に表示されないよう設定を行うようにしてください。

参考

Webアプリケーションセキュリティに関する記事は、以下のページにまとまっています。ぜひご確認ください。

Webセキュリティの小部屋

Webアプリケーションセキュリティ対策

https://www.websec-room.com/webappsec

Webアプリケーションセキュリティの基本 セキュリティ対策の学習は信頼できる情報源から 脆弱性対策はなぜ必要か インターネットの基本的な仕組み ブラウザのデータと Web サーバーのデータを区別する 重要情報はブラウザに持たない 入力値は必ずサーバー側でチェックする エラーメッセージの表示内容に注意する  HTTP の仕組み HTTP の基本 HTTP はステートレス Cookie の仕組み セッション管理機能 重要情報は POST で送信する  パスワードの管理 パスワードを平文で保存しない なぜパスワードを保護す...

カテゴリー:Webアプリケーションセキュリティ対策