2016年04月11日

12. Webアプリケーションの不必要な情報による脆弱性(コメント)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
コメント機能の誤用(動的ページではなく静的ページのコメント機能を利用していたこと)により、
Htmlコメントに意図しない情報(作成者名、連携システム名、デバッグ情報、変更履歴など)が含まれていた。

【(想定)被害内容】
機密情報が流出する。

【対策内容】
Htmlコメントを利用しない。
※そもそも、デバッグ情報についてはデバッグツールを利用すること、
変更履歴についてはバージョン管理システムを利用することを推奨します。

【関連する記事】
posted by red at 00:16| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック