Webアプリケーション脆弱性動向 by KCCS

KCCS(京セラコミュニケーションシステム)の2007年版 Webアプリケーション脆弱性動向という資料を読みました。

資料のダウンロードは以下から(氏名住所等の入力が必要)。
https://www.kccs.co.jp/contact/paper_websecurity/index.html

昨年KCCS社で実施した脆弱性診断の検査結果の一部を、PC/携帯向けサイトに分けてまとめたものです。資料の分量は二十数ページです。

感想を少しだけ。

  • 数年間の傾向の変化が判れば嬉しかった。変化は余り無いのか。
  • どのような手法での検査結果? 手法により結果が異なるような気も。
  • 全体のサイトの何%にXXX脆弱性がある、という方が判りやすい(特に携帯)。
  • CSRFが出てこないのが不思議(Critical以外の分類なのか、検査対象外なのか)。
  • 携帯の内訳では、XSSとセッション管理の不備(セッション固定やセッションID推測など)がトップで並ぶ*1。興味深い。
  • 私自身は(恥ずかしながら)携帯でのXSSの認識がなかった。
  • XSSは、PCよりも携帯の方が発見率が低い。資料では「画面構成がシンプルだから」としているが、携帯でのXSS対策は余り浸透していない(と思う)ので、少々意外*2
  • 携帯でのリファラーによるセッションID漏洩については、記述無し。

最後に:色々書きましたが、このような資料を公開してくれるのはありがたいと思います。

*1:セッションIDをGETで引き回す→(Cookieよりも)セッション固定が容易、独自開発のセッション機構→推測が容易、ということらしい。

*2:ReflectedなXSS+GETでのセッションID渡しは、Criticalに分類されていないのか?