KCCS(京セラコミュニケーションシステム)の2007年版 Webアプリケーション脆弱性動向という資料を読みました。
資料のダウンロードは以下から(氏名住所等の入力が必要)。
https://www.kccs.co.jp/contact/paper_websecurity/index.html
昨年KCCS社で実施した脆弱性診断の検査結果の一部を、PC/携帯向けサイトに分けてまとめたものです。資料の分量は二十数ページです。
感想を少しだけ。
- 数年間の傾向の変化が判れば嬉しかった。変化は余り無いのか。
- どのような手法での検査結果? 手法により結果が異なるような気も。
- 全体のサイトの何%にXXX脆弱性がある、という方が判りやすい(特に携帯)。
- CSRFが出てこないのが不思議(Critical以外の分類なのか、検査対象外なのか)。
- 携帯の内訳では、XSSとセッション管理の不備(セッション固定やセッションID推測など)がトップで並ぶ*1。興味深い。
- 私自身は(恥ずかしながら)携帯でのXSSの認識がなかった。
- XSSは、PCよりも携帯の方が発見率が低い。資料では「画面構成がシンプルだから」としているが、携帯でのXSS対策は余り浸透していない(と思う)ので、少々意外*2。
- 携帯でのリファラーによるセッションID漏洩については、記述無し。
最後に:色々書きましたが、このような資料を公開してくれるのはありがたいと思います。