æºå¸¯æ¥ç•Œã®èªè¨¼äº‹æƒ…
巡回サイトã®ä¸€ã¤ã§ã‚ã‚‹é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ã§ä»¥ä¸‹ã®ã‚ˆã†ãªã‚¨ãƒ³ãƒˆãƒªãƒ¼ãŒã‚ã£ãŸã€‚
ã“ã“ã§ã¯ã„ã¤ã‚‚ã®é«˜æœ¨æ°ã®å£èª¿ã§ã€ã€Œæºå¸¯å‘ã‘WEBアプリ開発ã§ã¯æœªã ã«GETパラメータã§ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを渡ã—ã¦ãŠã‚Šã€ãã‚Œã¯ã“ã‚Œã¾ã§ã‚‚何度もã„ã‹ã‚“ã“ã¨ã ã¨è¨€ã£ã¦ã„る。ã€ã¨ã„ã†ã‚ˆã†ãªå†…容ãŒèªžã‚‰ã‚Œã¦ã„る。
確ã‹ã«WEB+DBã®è¨˜äº‹ã«å¯¾ã—ã¦é«˜æœ¨æ°ãŒæ³¨é‡ˆã§è¨€ã£ã¦ã„るよã†ã«ã€ŒIPアドレスã«ã‚ˆã‚‹åˆ¶é™ã«é–¢ã—ã¦æ›¸ã„ã¦ã„ãªã„ã€ã¨ã„ã†ç‚¹ã«é–¢ã—ã¦ã¯WEB+DBå´ã®è½ã¡åº¦ã ã¨æ€ã†ã€‚実際ã“れを行ã‚ãªã„é™ã‚Šç«¯æœ«IDやユーザID*1ã«ã‚ˆã‚‹èªè¨¼ãŒæ„味をãªã•ãªããªã£ã¦ã—ã¾ã†ã‹ã‚‰ã 。*2
但ã—ã€ã‚ャリア毎ã«IPアドレス制é™ã‚’ã™ã‚‹é™ã‚Šã«ãŠã„ã¦ã¯ç«¯æœ«IDやユーザIDã¯å½è£…ä¸å¯èƒ½*3ãªã®ã§ã€ã‚€ã—ã‚他人ã§ã‚‚入力å¯èƒ½ãªãƒ‘スワードèªè¨¼ã‚ˆã‚Šã‚‚強力ãªèªè¨¼ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。逆ã«ã„ãˆã°ãã®èªè¨¼æ–¹æ³•ãŒã‚ã‚‹ã‹ã‚‰ã“ãæºå¸¯æ¥ç•Œã§ã¯ã‚¯ãƒƒã‚ー無ã—ã§ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ãŒå¯èƒ½ã«ãªã£ã¦ã„ã‚‹ã¨è¨€ãˆã¾ã™ã€‚
ãªã®ã§é«˜æœ¨æ°ã®ä»¥ä¸‹ã®æ‰¹åˆ¤ã¯çš„外れã¨è¨€ãˆã‚‹ã§ã—ょã†ã€‚
ãã‚‚ãã‚‚ã€ã€ŒID/パスワードを毎回入力ã™ã‚‹ã®ã§ã¯æºå¸¯ã®å ´åˆã§ã¯ç‰¹ã«é¢å€’ã§ã™ã€ãªã©ã¨ã„ã£ã¦ã€ç«¯æœ«IDをパスワード代ã‚ã‚Šã«ã—ã¦ã¯ã„ã‘ãªã„。端末IDã¯ä»–ã®ã‚µã‚¤ãƒˆã«ã‚‚åŒã˜ã‚‚ã®ãŒé€ä¿¡ã•ã‚Œã‚‹ã®ã ã‹ã‚‰ã€ãƒ‘スワード代ã‚ã‚Šã«ãªã©ãªã‚‰ãªã„。
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
ã“ã‚“ãªåŸºæœ¬çš„ãªã“ã¨ãŒæºå¸¯æ¥ç•Œã§ã¯æœªã 常è˜ã«ãªã£ã¦ã„ãªã„よã†ã§å›°ã£ãŸã“ã¨ã 。
åŒã˜å€¤ã®ç«¯æœ«IDãŒä»–ã®ã‚µã‚¤ãƒˆã«ã‚‚é€ã‚‰ã‚ŒãŸã‹ã‚‰ã¨è¨€ã£ã¦ã‚‚ã€ãã®IDを他人ãŒé¨™ã‚‹ã“ã¨ã¯ã§ããªã„ã®ã ã‹ã‚‰å•é¡Œãªã„ã¯ãšã§ã™ã€‚パスワードèªè¨¼ã«ãŠã‘るパスワードã®ä»£ã‚ã‚Šã«ã¯ãªã‚Šã¾ã›ã‚“ãŒã€ãƒ‘スワードèªè¨¼ã«ä»£ã‚ã‚‹èªè¨¼ã«ãªã‚Šã¾ã™ã€‚
*1:ã“ã“ã§ã¯ã€ç«¯æœ«IDãŒæºå¸¯ã®ãƒãƒ¼ãƒ‰ã‚¦ã‚§ã‚¢ã§ã‚る端末ãŒæŒã¤IDã§ã€ãƒ¦ãƒ¼ã‚¶IDã¯ã‚ャリアã¨ã®å¥‘ç´„ã«å¯¾å¿œã™ã‚‹IDã¨ã—ã¦è©±ã—ã¾ã™ã€‚(ã‚ャリア毎ã«å‘¼ã³æ–¹ãŒé•ã†ã‚“ã よãªâ€¦ï¼‰
*2:端末IDやユーザIDã¯ç°¡å˜ã«æ¼æ´©ã™ã‚‹ã—(むã—ã‚å…¬é–‹æƒ…å ±ã«è¿‘ã„)ã€ä¸€èˆ¬ã«GETパラメータやUser-Agentã¯å½è£…å¯èƒ½ã ã‹ã‚‰ã€‚
*3:端末IDã¯ã‚¹ãƒžãƒ¼ãƒˆãƒ•ã‚©ãƒ³ç‰ã§ã‚´ãƒ‹ãƒ§ã‚´ãƒ‹ãƒ§ã™ã‚‹ã¨å½è£…ã§ãã‚‹å¯èƒ½æ€§ãŒã‚るよã†ã …。ユーザIDを使ãˆã¨ã„ã†ã“ã¨ã‹ã€‚
