Webセキュリティの小部屋

ホーム > Webアプリケーションセキュリティ > エラーメッセージの表示内容に注意する

公開日：2013年3月20日

エラーメッセージの表示内容に注意する

例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか？

パスワードが異なります。

これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。

ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。

ユーザー ID またはパスワードが異なります。

こうすることで、攻撃者に手がかりを与えないことができます。

また、環境によりシステムエラーの内容がそのまま利用者に表示されてしまうことがあります。そうした環境では、システムエラーの内容が利用者に表示されないよう設定を行うようにしてください。

スポンサーリンク

« OSコマンド・インジェクションと対策

ディレクトリ・トラバーサルと対策 »

カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

コメントを残すコメントをキャンセル

プロフィール

名前：fnya
SE としての経験は１５年以上。業務システムの経験が多いですが、セキュリティにも携わっていました。現在は、趣味でセキュリティを追っかけています。情報処理安全確保支援士（登録セキスペ）。

現在、Enty で支援を受け付けています。もしよければご支援ください。

Follow @fnya

最近の記事

徳丸本こと「安全なWebアプリケーションの作り方第２版」はWeb開発者必読の書として更なる進化をとげていた

OpenSSHサーバーがWindows10に正式にやってきた(April 2018 Update/1803)

Windows 10 ストアアプリで Kali Linux が使えるようになったのでインストールしてみた

AdSense 自動広告の設定を外しました

CPUの脆弱性「Meltdown」と「Spectre」について現状をメモしておく

カテゴリ

おすすめ書籍

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
Webアプリケーションセキュリティの定番である「徳丸本」の最新技術動向を反映した第2版です。必読です。

基本がわかる安全設計のWebシステム
コードの記載なしでWebアプリケーションセキュリティの基本を、正しく解説している良書です。PM、SE、初心者に向いています。
レビュー記事