2016年04月11日

9. Webアプリケーションの混在コンテンツ

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
アカウント認証後のWebページに(HTTPS経由ではなく)HTTP経由でアクセスするWebリソースが含まれていたため、
Cookie(認証情報含む)が流出する状態になっていた。

【(想定)被害内容】
Webアプリケーションの認証情報を奪取される ⇒ アカウントを乗っ取られ、Webアプリケーションを不正利用される。

【対策内容】
アカウント認証後のWebページでアクセスするWebリソースは必ずHTTPS経由にする。
※そもそも、業務システムであることを前提として、また、常時SSL化が提唱される世の中の動向を踏まえて、
アカウント認証前のWebページも含めた全Webページ・全Webリソースを必ずHTTPS経由にすることを推奨します。

【関連する記事】
posted by red at 00:10| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック