IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
知名度は低いが高リスク、Webアプリの安全性を脅かすマイナー脆弱性3選
日々発表される脆弱性の中には、リスクが高い割にあまり知られていない“マイナー”な脆弱性も多い。Webアプリの安全性を維持する上で、特に押さえておきたい3つの“マイナー”な脆弱性について、その攻撃原理や対策、検知方法を解説する。
コンテンツ情報
| 公開日 | 2023/02/15 | フォーマット | URL | 種類 | 製品資料 |
|---|---|---|---|---|---|
| ページ数・視聴時間 | 15分45秒 | ファイルサイズ | - | ||
要約
サイバー攻撃者は設計ミスや設定不備など、さまざまな脆弱性を突いてシステムに侵入しようとしてくる。こうした脆弱性の情報は、世間で大きく取り上げられていれば自然と耳に入るが、リスクが高い割にあまり知られていないものも多い。
例えば「Apache HTTP ServerのOSコマンド実行脆弱性(CVE-2021-41773)」はその1つだ。一階層上のディレクトリを表す特殊な記号を使って、本来アクセスできないファイルへ到達する“パストラバーサル攻撃”が有効になってしまうもので、これでOSコマンドも実行できてしまうため、サーバ上のデータの窃取や改ざん、バックドア設置などの攻撃につながる恐れがある。
本動画ではこの他に、「X-Forwarded-Forヘッダを利用したアクセス制御回避」「Matrix URIの解釈違いによるパストラバーサル」を加えた3つの“マイナー”な脆弱性について、その攻撃原理や対策、検知の方法を解説する。その上で、日々発表されるこのような脆弱性に対応してWebアプリケーションの安全性を維持するための、セキュリティ診断の重要性について考察している。
例えば「Apache HTTP ServerのOSコマンド実行脆弱性(CVE-2021-41773)」はその1つだ。一階層上のディレクトリを表す特殊な記号を使って、本来アクセスできないファイルへ到達する“パストラバーサル攻撃”が有効になってしまうもので、これでOSコマンドも実行できてしまうため、サーバ上のデータの窃取や改ざん、バックドア設置などの攻撃につながる恐れがある。
本動画ではこの他に、「X-Forwarded-Forヘッダを利用したアクセス制御回避」「Matrix URIの解釈違いによるパストラバーサル」を加えた3つの“マイナー”な脆弱性について、その攻撃原理や対策、検知の方法を解説する。その上で、日々発表されるこのような脆弱性に対応してWebアプリケーションの安全性を維持するための、セキュリティ診断の重要性について考察している。