なぜPHPアプリにセキュリティホールが多いのか?

【スクリプトインジェクション対策09】ウィジットを利用しない

この記事を読むのに必要な時間:およそ 0.5 分

JavaScriptやiframeを利用してWebアプリに簡単に機能追加できるウィジットがあります。便利な機能を非常に手軽に追加できますが,悪意のあるウィジットは悪意のあるスクリプトやFlashオブジェクト,PDFなどを使い,さまざまな攻撃を行えます。

信頼できないウィジットは利用しないようにするべきです。大手サイトが提供しているウィジットであっても,第三者から提供されているウィジットの場合もあります。ウィジットにはiframeが利用されることも多く,iframeを利用した攻撃は非常に多いです。

JavaScriptを利用したウィジットはさらに危険です。ページの改ざんも容易に行えます。リモートJavaScriptを利用したウィジッドは,ウィジットの提供者を完全に信頼できる場合にのみ利用しなければなりません。

インストール時のウィジットに問題がなくても中身が意図的に変更されたり,ウィジットを提供しているサイトがクラックされて不正なコードをホストする可能性もあります。セキュリティが重要なサイトではウィジットの採用は非常に慎重に行うべきです。

対策のまとめ

  • 安易にウィジットを利用しない
  • 信頼できるウィジットのみ利用する

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書

コメント

コメントの記入