修正されない、Webの脆弱性…
IPAによると、ウェブサイトの脆弱性で300日以上も対策が完了していないものが
50件にも達しているそうです。
ソフトウエア等の脆弱性関連情報に関する届出状況 [2007年第3四半期(7月〜9月)]
http://www.ipa.go.jp/security/vuln/report/vuln2007q3.html
関連:300日以上脆弱性が修正されないWebアプリが累計50件、IPA
http://www.atmarkit.co.jp/news/200710/22/ipa.html
リンク先のグラフを見ると、やはり多いのが「クロスサイトスクリプティング」。
次いで「SQLインジェクション」。
これらは簡単に直せそうで直せなかったりするあたり、嫌な脆弱性です。
どこも対応に苦慮している、というところでしょう。
また、届け出件数合計152件のうち、103件がWebアプリケーションに関するものだった
ということです。この要因は幾つか考えられます。
要因1. 多くのシステムがWeb化しているため
要因2. 単純に攻撃対象がWebアプリケーションにシフトしているため
要因3. Webの脆弱性は比較的発見しやすいものが多いため
ただし、要因3は「クロスサイトスクリプティング」や「SQLインジェクション」などに限った話です。
これらはゴキブリの如く撲滅するのは大変ですが、見付けるのは簡単です。
何故なら現象が目に見えるからです。多くはパラメータなどにコードを入れてみると発現します。
一方で、矛盾する話ではありますが、Webの脆弱性であっても発見しにくいものは多く存在します。
「レスポンススプリッティング(response splitting)」、
「リクエストスマグリング(request smuggling)」、
「クロスサイトリクエストフォージェリ(CSRF)」…など、聞いたことはありますか?
上記の脆弱性のように複数のサイトに跨るものや、キャッシュサーバなどを悪用するものは
実際にはレアケースではありますが、現象からは発見しにくいものです。
こういう小難しい脆弱性もありますので、
修正が長期化する前に、専門家に任せましょう。
彼らはよくあるポイント(コツ)を知っていますので、必ずや発見、
適切な解決のためのアドバイスをしてくれるはずです。
適材適所。開発者がテストを兼ねてはいけないという事と同じで、
セキュリティについても開発者がチェックを兼ねてはいけません。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/390
