エラーメッセージからの情報暴露
【外部リンク】
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/b09_03_main.html
画面1では通常,名前や住所,メールアドレス,誕生年の入力をユーザが行うことになる。ここで何も入力しないまま「登録」ボタンをクリックしたときに表示されるエラーメッセージを画面2にのように想定してみた。ここの「○○○は必須項目です」「○○○には数字を入力してください」のように,入力の誤りを(あるいは入力しなかったこと自体を)詳細に表示することは,ユーザが入力の訂正をすみやかに行う助けになる。
不正侵入を試みる者は,まずユーザIDを推定し有効なものを見つけると,今度はそのアカウントのパスワードを破りにいく。そのため,画面4や画面6のようなエラーメッセージを表示するログイン処理は安全な設計とは言えない。
画面8 改善されたエラーメッセージ
画面8 改善されたエラーメッセージ
画面3と画面5のどちらの状況で「ログイン」ボタンをクリックしてもこの表示が出るようにする。
ユーザIDとパスワードのどちらが誤っているのかが読みとれないエラーメッセージにすることで,部外者がユーザIDを推定することが困難になる。
画面9 プログラム内部構造の手がかりを与えるエラーメッセージの例
画面9 プログラム内部構造の手がかりを与えるエラーメッセージの例
IISのデフォルトでは,ASPプログラムでのエラー発生時にこのような画面が表示される。この例では,当該ASPプログラムはSQL文を生成しており6行目でデータベースにアクセスしていること,パラメタcolはデータベースの列名に関係することが推定できてしまう。
人気の投稿
-
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://support.jp.playstation.com/app/answers/detail/a_id/13778 https://support.asia.playstation.... -
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
【外部リンク】 https://discussionsjapan.apple.com/thread/10179313 このメッセージはサーバからダウンロードされていません このメッセージはサーバからダウンロードされていません。 機種変更 この サーバ から ダウンロー...
-
au ID セッションタイムアウトになりました。再度接続してください。(CCAE0003) ※何度も、このエラーが表示される場合は、ご利用のブラウザでCookieを受け入れる設定に変更を行ってください。 【外部リンク】 https://id.auone.jp/age/... -
PS4エラー 【外部リンク】 https://support.asia.playstation.com/jajp/s/topic/0TO7F0000003dlDWAQ/ps4%E3%81%A7%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%8C%E7%99%B...