例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか?
パスワードが異なります。
これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。
ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。
ユーザー ID または パスワードが異なります。
こうすることで、攻撃者に手がかりを与えないことができます。
また、環境によりシステムエラーの内容がそのまま利用者に表示されてしまうことがあります。そうした環境では、システムエラーの内容が利用者に表示されないよう設定を行うようにしてください。
参考
Webアプリケーションセキュリティに関する記事は、以下のページにまとまっています。ぜひご確認ください。
コメント