なぜPHPアプリにセキュリティホールが多いのか?
【スクリプトインジェクション対策09】ウィジットを利用しない
JavaScriptやiframeを利用してWebアプリに簡単に機能追加できるウィジットがあります。便利な機能を非常に手軽に追加できますが,悪意のあるウィジットは悪意のあるスクリプトやFlashオブジェクト,PDFなどを使い,さまざまな攻撃を行えます。
信頼できないウィジットは利用しないようにするべきです。大手サイトが提供しているウィジットであっても,第三者から提供されているウィジットの場合もあります。ウィジットにはiframeが利用されることも多く,iframeを利用した攻撃は非常に多いです。
JavaScriptを利用したウィジットはさらに危険です。ページの改ざんも容易に行えます。リモートJavaScriptを利用したウィジッドは,ウィジットの提供者を完全に信頼できる場合にのみ利用しなければなりません。
インストール時のウィジットに問題がなくても中身が意図的に変更されたり,ウィジットを提供しているサイトがクラックされて不正なコードをホストする可能性もあります。セキュリティが重要なサイトではウィジットの採用は非常に慎重に行うべきです。
対策のまとめ
- 安易にウィジットを利用しない
- 信頼できるウィジットのみ利用する
大垣靖男(おおがきやすお)
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。
著書
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH40_4774125024.jpg){kind=small}
補講
- 【スクリプトインジェクション対策19】ユーザを教育する
- 【スクリプトインジェクション対策18】ログイン処理を正しく実装する
- 【スクリプトインジェクション対策17】パスワードを正しく管理する
- 【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する
- 【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする
- 【スクリプトインジェクション対策14】HTML,CSS,JavaScriptの生成はホワイトリスト方式を利用する
- 【スクリプトインジェクション対策13】不正な文字データを保存できないようにする
- 【スクリプトインジェクション対策12】データベースなど,内部データを信用しない
- 【スクリプトインジェクション対策11】エスケープしてはならないデータ以外はすべてエスケープする
- 【スクリプトインジェクション対策10】すべての入力値を可能な限り厳しい条件で検証する
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
