アクセス制御や認可制御の欠落 現在公開されているウェブサイトの中には、運営者の認識のなさから、不適切な 設計で作成されたまま運営を続けているものが存在しています。 公開の際などは以下の2点に注意し、コンテンツの公開などを行うべきです。 アクセス…

メールヘッダ・インジェクション ウェブサイトによっては利用者が入力下した内容を特定のメールアドレスへ 配信するシステもあります。 メールアドレスは固定となり、管理者以外からの変更ができないようになっていますが、 実装によっては利用者が任意のア…

HTTPヘッダ・インジェクション ウェブアプリケーションはリクエストに対して出力するHTTPレスポンスヘッダのフィールド値を 外部から渡されるパラメータの値等を利用して、動的に生成するものがあります。 （例：パラメータから取得したURL情報をLocationヘ…

CSRF（クロスサイト・リクエスト・フォージェリ） ウェブサイトはログイン機能を持ったものが多々存在します。しかし、ログインした 利用者からのリクエストについて、利用者が意図したリクエストであるかを識別できる 仕組みを持たないサイトは、外部サイト…

クロスサイト・スクリプティング 検索キーワードの表示画面や、個人情報入力/登録時の確認画面等、利用者からの入力内容や HTTPヘッダの情報を処理しウェブページ上に表示されるものがあり、ウェブページへの出力の 際に、問題がある場合スクリプトを埋め込…