�C���^�[�l�b�g��ɂ͗l�X�ȋ��Ђ����Ă��܂����A���ɁA�l�b�g��ŃT�[�r�X����鑤�ɂƂ��ċ��낵���̂́A���������̃T�[�r�X���痘�p�҂̌l������낤�Ƃ������ӂ̑�O�҂ɂ��s�����A�N�Z�X�ł��B
Web�ŃT�[�r�X�����V�X�e�����\�z�����o��������l�Ȃ�킩��Ǝv���܂����A�Z�L�����e�B�ւ̊��x���Ⴂ�A�v���Z�p�҂��J������Web�V�X�e���Ƃ����̂́A�{���ɔ��������炯�ł��B���̓t�H�[���ЂƂƂ��Ă��A�܂Ƃ��ȃo���f�[�V�������ݒ肳��Ă��炸�A�t�H�[������SQL�R�}���h����͂���ƁA�R�}���h���ʂ���������Ԃ��Ă��܂��Ƃ����m��ȃV�X�e���������Ƃ���܂��B
�������A�\�Z�����܂芄�����Ƃ��ł��Ȃ�Web�J���ɂ����āAWeb�Z�L�����e�B�ɗD�ꂽ�Z�p�҂��m�ۂ���ƌ����Ă��A�R�X�g�I�ɖ������ƌ��킴��Ȃ�������������Ƃł��傤�B
����ȃW���n�Ȍ���Ŋ撣�炴���Q�Ȃ��F����ɂƂ��ĘN��Ȃ̂��AIPA�i����@�\�j�����J���Ă���u���S�ȃE�F�u�T�C�g�̍����v�Ƃ���PDF�t�@�C���ł��B
�w�Ǝ㐫��F���S�ȃE�F�u�T�C�g�̍����x
http://www.ipa.go.jp/security/vuln/websecurity.html
�ȉ��A�ڎ����������������B
���E�F�u�A�v���P�[�V�����̃Z�L�����e�B������
�P�j SQL �C���W�F�N�V����
�Q�j OS �R�}���h�E�C���W�F�N�V����
�R�j �p�X���p�����[�^�̖��`�F�b�N
�^�f�B���N�g���E�g���o�[�T��
�S�j �Z�b�V�����Ǘ��̕s��
�T�j �N���X�T�C�g�E�X�N���v�e�B���O
�U�j CSRF
�i�N���X�T�C�g�E���N�G�X�g�E�t�H�[�W�F���j
�V�j HTTP �w�b�_�E�C���W�F�N�V����
�W�j ���[���w�b�_�E�C���W�F�N�V����
�X�j �A�N�Z�X�����F����̌���
Web�J���Z�p�҂ɂƂ��Ĉ�x�͕��������Ƃ̂���Z�L�����e�B�p�ꂪ������ƕ���ł��܂��B�ǎ�����Z�p�҂Ȃ�u���ꂭ�炢�m���Ă��ē��R�v�Ǝv���̂�������܂��A�ł͒��g�𑼂̐l�ɂ����Ɛ����ł���ł��傤���B��̓I�Ȏ�����A���X�N���y�����邽�߂̕��@���܂߂�Ȃ�A�����ł���l�͈ꈬ��̐l�������Ȃ��Ǝv���܂��B
����PDF�t�@�C���ɂ́A����炪�}��\������ŋL�ڂ���Ă��܂����A�����̎��s����\���t���ʼn������Ă���̂ŁA�͂��߂�Web�J���Ɏ��g�ސl�ł��A�����Ȃ�Z�L�����e�B���Ƃɋ߂��ڐ��Ŏ������Ă������Ƃ��\�ł��B
���������Ȃ̂ŁA�O�q�����wWeb�J���ɂ�����9�̋��Ёx�ɂ��ĉ�����܂��B
�P�j SQL �C���W�F�N�V����
�f�[�^�x�[�X�ƘA�g�����E�F�u�A�v���P�[�V�����̑����́A���p�҂���̓��͏������SQL ���i�f�[�^�x�[�X�ւ̖��ߕ��j��g�ݗ��ĂĂ��܂��B�����ŁASQL ���̑g�ݗ��ĕ��@�ɖ�肪����ꍇ�A�U���ɂ���ăf�[�^�x�[�X�̕s�����p���܂˂��\��������܂��B
���Ђ̗�F
- �f�[�^�x�[�X�ɒ~�ς��ꂽ����J���̉{��
- �f�[�^�x�[�X�ɒ~�ς��ꂽ���̉�����A����
- �F�؉���ɂ��s�����O�C��
- �X�g�A�h�v���V�[�W�����𗘗p����OS �R�}���h�̎��s
���{�����F
�ESQL ���̑g�ݗ��Ă͑S�ăv���[�X�z���_�Ŏ�������B
�ESQL ���̑g�ݗ��Ă���A���ɂ��s���ꍇ�́A�G�X�P�[�v���������s���f�[�^�x�[�X�G���W����API ��p���āASQL ���̃��e�����𐳂����\������B
�E�E�F�u�A�v���P�[�V�����ɓn�����p�����[�^��SQL ���ڎw�肵�Ȃ��B
�Q�j OS �R�}���h�E�C���W�F�N�V����
�E�F�u�A�v���P�[�V�����ɂ���ẮA�O������̍U���ɂ��A�E�F�u�T�[�o��OS �R�}���h��s���Ɏ��s����Ă��܂����������̂�����܂��B
���Ђ̗�F
- �T�[�o���t�@�C���̉{���A������A�폜
- �s���ȃV�X�e������
- �s���ȃv���O�����̃_�E�����[�h�A���s
- ���̃V�X�e���ւ̍U���̓��ݑ�
���{�����F
�E�V�F�����N���ł��錾��@�\�̗��p�������B
�E�V�F�����N���ł��錾��@�\�𗘗p����ꍇ�́A���̈������\������S�Ă̕ϐ��ɑ��ă`�F�b�N���s���A���炩���ߋ����������݂̂����s����B
�R�j �p�X���p�����[�^�̖��`�F�b�N�^�f�B���N�g���E�g���o�[�T��
�E�F�u�A�v���P�[�V�����̒��ɂ́A�O������̃p�����[�^�ɃE�F�u�T�[�o���̃t�@�C�����ڎw�肵�Ă�����̂�����܂��B���̂悤�ȃE�F�u�A�v���P�[�V�����ł́A�t�@�C�����w��̎����ɖ�肪����ꍇ�A�U���҂ɔC�ӂ̃t�@�C�����w�肳��A�E�F�u�A�v���P�[�V�������Ӑ}���Ȃ��������s���Ă��܂��\��������܂��B
���Ђ̗�F
- �T�[�o���t�@�C���̉{���A������A�폜
���{�����F
�E�O������̃p�����[�^�ŃE�F�u�T�[�o���̃t�@�C�����ڎw�肷������������B
�E�t�@�C�����J���ۂ́A�Œ�̃f�B���N�g�����w�肵�A���t�@�C�����Ƀf�B���N�g�������܂܂�Ȃ��悤�ɂ���B
�S�j �Z�b�V�����Ǘ��̕s��
�E�F�u�A�v���P�[�V�����̒��ɂ́A�Z�b�V����ID�i���p�҂����ʂ��邽�߂̏��j�s���A�Z�b�V�����Ǘ����s���Ă�����̂�����܂��B���̃Z�b�V����ID �̔��s��Ǘ��ɕs��������ꍇ�A���ӂ̂���l�Ƀ��O�C�����̗��p�҂̃Z�b�V����ID ��s���Ɏ擾����A���̗��p�҂ɂȂ肷�܂��ăA�N�Z�X����Ă��܂��\��������܂��B
�܂��A�����ⓐ�p�ȊO�ɁA�Z�b�V�����Ǘ��̕s����_����������̍U����@�Ƃ��āA�u�Z�b�V����ID �̌Œ艻�iSession Fixation�j�v�ƌĂ��U����@������܂��B���ӂ���l�����炩���ߗp�ӂ����Z�b�V����ID ���A���炩�̕��@�ŗ��p�҂ɑ��荞�݁A���p�҂�����ɋC�t�����Ƀp�X���[�h����͂���Ȃǂ��ă��O�C������ƋN���肤����ł��B���ӂ̂���l�����̍U���ɐ�������ƁA���炩���ߗp�ӂ����Z�b�V����ID �𗘗p���A���p�҂ɂȂ肷�܂��ăE�F�u�T�C�g�ɃA�N�Z�X���邱�Ƃ��ł��Ă��܂��܂��B
���Ђ̗�F
- ���O�C����̗��p�҂݂̂����p�\�ȃT�[�r�X�̈��p
- ���O�C����̗��p�҂݂̂��ҏW�\�ȏ��̉�����A�V�K�o�^
- ���O�C����̗��p�҂݂̂��{���\�ȏ��̉{��
���{�����F
�E�Z�b�V����ID �𐄑�������Ȃ��̂ɂ���B
�E�Z�b�V����ID ��URL �p�����[�^�Ɋi�[���Ȃ��B
�EHTTPS �ʐM�ŗ��p����Cookie �ɂ�secure ������������B
�E���O�C��������ɁA�V�����Z�b�V�������J�n����B
�E���O�C��������ɁA�����̃Z�b�V����ID�Ƃ͕ʂɔ閧���s���A�y�[�W�̑J�ڂ��Ƃɂ��̒l���m�F����B
�T�j �N���X�T�C�g�E�X�N���v�e�B���O
�E�F�u�A�v���P�[�V�����̒��ɂ́A�����̃L�[���[�h�̕\����ʂ�l���o�^���̊m�F��ʁA�f���A�E�F�u�̃��O���v��ʓ��A���p�҂���̓��͓��e��HTTP �w�b�_�̏����������A�E�F�u�y�[�W�Ƃ��ďo�͂�����̂�����܂��B�����ŁA�E�F�u�y�[�W�ւ̏o�͏����ɖ�肪����ꍇ�A���̃E�F�u�y�[�W�ɃX�N���v�g���ߍ��܂�Ă��܂��܂��B
���Ђ̗�F
- �{���T�C�g��ɋU�̃y�[�W���\�������
- �u���E�U���ۑ����Ă���Cookie ���擾�����
- �C�ӂ�Cookie ���u���E�U�ɕۑ���������
���{�����F
�iHTML �e�L�X�g�̓��͂������Ȃ��ꍇ�j
�E�E�F�u�y�[�W�ɏo�͂���S�Ă̗v�f�ɑ��āA�G�X�P�[�v�������{���B
�EURL ���o�͂���Ƃ��́A�uhttp://�v�� �uhttps://�v�Ŏn�܂�URL �݂̂�������B
�E<script>...</script> �v�f�̓��e�I�ɐ������Ȃ��B
�E�X�^�C���V�[�g��C�ӂ̃T�C�g�����荞�߂�悤�ɂ��Ȃ��B
�iHTML �e�L�X�g�̓��͂�������ꍇ�j
�E���͂��ꂽHTML�e�L�X�g����\����͖��쐬���A�X�N���v�g���܂܂Ȃ��K�v�ȗv�f�݂̂𒊏o����
�i�S�ẴE�F�u�A�v���P�[�V�����ɋ��ʂ̑�j
�EHTTP���X�|���X�w�b�_��Content-Type�t�B�[���h�ɕ����R�[�h�icharset�j���w�肷��B
�U�j CSRF �i�N���X�T�C�g�E���N�G�X�g�E�t�H�[�W�F���j
�E�F�u�T�C�g�̒��ɂ́A�T�[�r�X�̒ɍۂ����O�C���@�\��݂��Ă�����̂�����܂��B�����ŁA���O�C���������p�҂���̃��N�G�X�g�ɂ��āA���̗��p�҂��Ӑ}�������N�G�X�g�ł��邩�ǂ��������ʂ���d�g�݂������Ȃ��E�F�u�T�C�g�́A�O���T�C�g���o�R�������ӂ̂��郊�N�G�X�g������Ă��܂��ꍇ������܂��B���̂悤�ȃE�F�u�T�C�g�Ƀ��O�C���������p�҂́A���ӂ̂���l���p�ӂ���㩂ɂ��A���p�҂��\�����Ȃ����������s�������Ă��܂��\��������܂��B
���Ђ̗�F
- ���O�C����̗��p�҂݂̂����p�\�ȃT�[�r�X�̈��p
- ���O�C����̗��p�҂݂̂��ҏW�\�ȏ��̉�����A�V�K�o�^
���{�����F
�E���������s����y�[�W��POST ���\�b�h�ŃA�N�Z�X����悤�ɂ��A���́uhidden �p�����[�^�v�ɔ閧��}�������悤�A�O�̃y�[�W�������������āA���s�y�[�W�ł͂��̒l���������ꍇ�̂ݏ��������s����B
�E���������s���钼�O�̃y�[�W�ōēx�p�X���[�h�̓��͂����߁A���s�y�[�W�ł́A�ēx���͂��ꂽ�p�X���[�h���������ꍇ�̂ݏ��������s����B
�EReferer �������������N�������m�F���A�������ꍇ�̂ݏ��������s����B
�V�j HTTP �w�b�_�E�C���W�F�N�V����
�E�F�u�A�v���P�[�V�����̒��ɂ́A���N�G�X�g�ɑ��ďo�͂���HTTP���X�|���X�w�b�_�̃t�B�[���h�l���A�O������n�����p�����[�^�̒l���𗘗p���ē��I�ɐ���������̂�����܂��B���Ƃ��AHTTP ���_�C���N�V�����̎����Ƃ��āA�p�����[�^����擾�����W�����v���URL �����ALocation �w�b�_�̃t�B�[���h�l�Ɏg�p����ꍇ��A�f�����ɂ����ē��͂��ꂽ���O����Set-Cookie �w�b�_�̃t�B�[���h�l�Ɏg�p����ꍇ�����������܂��B���̂悤�ȃE�F�u�A�v���P�[�V�����ŁAHTTP ���X�|���X�w�b�_�̏o�͏����ɖ�肪����ꍇ�A�U���҂́A���X�|���X���e�ɔC�ӂ̃w�b�_�t�B�[���h��lj�������A�C�ӂ̃{�f�B���쐬������A�����̃��X�|���X�����o���悤�ȍU�����d�|����ꍇ������܂��B
���Ђ̗�F
- �N���X�T�C�g�E�X�N���v�e�B���O�U���ɂ�蔭�������鋺�ЂƓ�������
- �C�ӂ�Cookie ���s
- �L���b�V���T�[�o�̃L���b�V������
���{�����F
�E�w�b�_�̏o�͂ڍs�킸�A�E�F�u�A�v���P�[�V�����̎��s���⌾��ɗp�ӂ���Ă���w�b�_�o�͗pAPI ���g�p����B
�E���s�R�[�h��K�ɏ�������w�b�_�o�͗pAPI �𗘗p�ł��Ȃ��ꍇ�́A���s�������Ȃ��悤�A�J���Ҏ��g�œK�ȏ�������������B
�W�j ���[���w�b�_�E�C���W�F�N�V����
�E�F�u�A�v���P�[�V�����̒��ɂ́A���p�҂����͂������i�\�����݂�A���P�[�g���̓��e���A����̃��[���A�h���X�ɑ��M����@�\�������̂�����܂��B��ʂɁA���̃��[���A�h���X�͌Œ�ŁA�E�F�u�A�v���P�[�V�����̊Ǘ��҈ȊO�̐l�͕ύX�ł��܂��A�����ɂ���ẮA�O���̗��p�҂����̃��[���A�h���X�����R�Ɏw��ł��Ă��܂��ꍇ������܂��B
���Ђ̗�F
- ���[���̑�O�Ғ��p
���{�����F
�E���[���w�b�_���Œ�l�ɂ��āA�O������̓��͂͂��ׂă��[���{���ɏo�͂���B
�E���[���w�b�_���Œ�l�ɂł��Ȃ��ꍇ�A�E�F�u�A�v���P�[�V�����̎��s���⌾��ɗp�ӂ���Ă��郁�[�����M�pAPI ���g�p����B
�EHTML �ň�����w�肵�Ȃ��B
�X�j �A�N�Z�X�����F����̌���
�E�F�u�T�C�g�̒��ɂ́A�^�c�҂̃Z�L�����e�B�ɑ���F���̂Ȃ�����A�s�K�Ȑv�ō쐬���ꂽ�E�F�u�T�C�g���^�p����Ă��邱�Ƃ�����܂��B
���Ђ̗�F
- �s�����O�C������
���{�����F
�E�A�N�Z�X����@�\�ɂ��h��[�u���K�v�Ƃ����E�F�u�T�C�g�ɂ́A�p�X���[�h���̔閧���̓��͂�K�v�Ƃ���F�؋@�\��݂���B
�E�F�؋@�\�ɉ����ĔF����̏������������A���O�C�����̗��p�҂����l�ɂȂ肷�܂��ăA�N�Z�X�ł��Ȃ��悤�ɂ���B
����Љ��PDF�t�@�C���ɂ́A�O�q�̋��Ђɑ���Z�L�����e�B��i�E�F�u�T�[�o�ADNS�T�[�o�A�l�b�g���[�N�j�Ȃǂ������Ă��܂��B�������Ă����Ƃ�������WAF�iWeb Application Firewall�j�ɂ��Ă����グ���Ă���̂ŁAWeb�Z�L�����e�B�����̌������̓I�ɔc������̂ɗL�p�ł��B
Web�A�v���P�[�V�����J���̊F�l�A���ɃC���^�[�l�b�g��ŗ��p�����T�[�r�X���J�����Ă�����́A���̕��������܂����_�E�����[�h���āA�����J���܂œǂݍ��ނ��Ƃ������߂��܂��B
