Web アプリケーションのセキュリティ

SG::Acme : attacking MT 2 という記事があった （void GraphicWizardsLair( void ); // 経由）

記事の対象は MT だけど、別に MT に限った話じゃない。 記事では「Cookieでのセッション管理を行う多くのWeb Applicationにありうる」って書いてあるけど、tDiary のような Basic 認証を使うアプリケーションも同様の危険性はあるだろう。

CGI のクエリでコマンドを実行するようなアプリケーションがあったとして、 そのコマンドを含んだリンクを罠として仕掛けておくという方法のようだ。 たとえばこんな感じ？

http://example.com/?cmd=delete&id=100

もちろん、そのコマンドを第三者が実行しようとしても、 認証がかかっているので実行できない。 なので、そのサイトのオーナーに罠を踏ませるのがポイントのようだ。 一見、難しそうだけど Blog のコメント欄を使えばそうでもなさそう （これは、上記のサイトに例がでている）。

ぱっと思いついた対処法としては、 GET メソッドによるコマンドは受け付けないとか、 <hidden> タグに毎回変わる ID （セッション ID のようなもの）を埋め込んでおき、 この ID が一致しないと NG にするとかかな。 （ちゃんとした対策は、上記のサイトに書いてあるので、そちらを参考にしてください。 思いつきの対策は危険ですから）

でもこうなると、はてダラのような便利ツールを作るのが難しくなりそう…。