Modern Web Application

概要

  • 脆弱性の名前: Modern Web Application (モダンWebアプリケーション)
  • どんな問題か: 従来のWebアプリケーションとは異なり、クライアントサイドで動的にコンテンツを生成するWebアプリケーションであるため、セキュリティ上の考慮事項が異なること。
  • よくある発生シーン: シングルページアプリケーション (SPA)、リアクティブWebサイト、API駆動型のWebアプリケーション。

背景

  • 問題視されるようになった背景: 近年、Webアプリケーションのアーキテクチャが進化し、クライアントサイドでの処理が増加したため。従来のWebアプリケーションのセキュリティ対策だけでは、モダンWebアプリケーションのセキュリティリスクに対応できない場合がある。
  • クラウド設計や設定ミスによる実例: クラウド環境でAPI Gatewayを使用している場合、CORS (Cross-Origin Resource Sharing) の設定ミスにより、意図しないオリジンからのリクエストを許可してしまうことがある。また、CDN (Content Delivery Network) の設定ミスにより、キャッシュされたコンテンツに機密情報が含まれてしまうことがある。

セキュリティ上のリスク

  • どんな攻撃に悪用されるか:
    • クロスサイトスクリプティング (XSS) 攻撃: クライアントサイドでHTMLを生成する際に、適切なエスケープ処理を行わないと、XSS攻撃を受ける可能性がある。
    • クライアントサイドインジェクション: クライアントサイドのJavaScriptコードに脆弱性がある場合、攻撃者が悪意のあるコードを注入し、ユーザーのブラウザ上で実行させることができる。
    • APIの悪用: APIエンドポイントに対する認証や認可が不十分な場合、攻撃者がAPIを悪用し、データの改ざんや不正アクセスを行うことができる。
  • 実被害が出た具体的なインシデント: 具体的なインシデントは特定できませんでしたが、過去には、大手WebサイトでクライアントサイドのJavaScriptコードに脆弱性があり、ユーザーのクレジットカード情報が盗まれた事例が報告されています。

対処方法の具体例

JavaScriptでの対処

// 信頼できないデータのエスケープ処理
function escapeHTML(str) {
    let div = document.createElement('div');
    div.appendChild(document.createTextNode(str));
    return div.innerHTML;
}

// DOMPurifyライブラリの使用
const clean = DOMPurify.sanitize('<img src=x onerror=alert(1)>');
console.log(clean);

ベストプラクティス

  • 入力値の検証: クライアントサイドとサーバーサイドの両方で、入力値を検証する。
  • 出力値のエスケープ: クライアントサイドでHTMLを生成する際に、適切なエスケープ処理を行う。
  • CSP (Content Security Policy) の設定: CSPを設定し、信頼できるソースからのスクリプトのみを実行するように制限する。
  • CORS (Cross-Origin Resource Sharing) の設定: CORSを設定し、許可されたオリジンからのリクエストのみを受け入れる。
  • サードパーティライブラリの管理: サードパーティライブラリの脆弱性を定期的にチェックし、最新バージョンにアップデートする。

検出方法

  • OWASP ZAPでの検出時の出力例: OWASP ZAPでは、Ajax Spiderを使用して、クライアントサイドで生成されるコンテンツをクロールし、脆弱性を検出する。
  • 手動での確認: ブラウザの開発者ツールを使用し、クライアントサイドで生成されるHTMLやJavaScriptコードを分析し、脆弱性がないか確認する。

まとめ

  • 重要度: Medium (Webアプリケーションの機能やデータの種類によって変動します)
  • 運用チームや開発者が意識すべきポイント:
    • クライアントサイドのセキュリティ対策を強化する
    • 入力値の検証と出力値のエスケープを徹底する
    • CSPとCORSを適切に設定する
    • サードパーティライブラリの脆弱性を管理する
  • 再発防止の観点:
    • 開発者向けのセキュリティトレーニングを実施する
    • Webアプリケーションフレームワークのセキュリティ機能を活用する
    • CI/CDパイプラインにセキュリティテストを組み込む

補足資料リンクや参考URL

この解説記事が、脆弱性理解の一助となれば幸いです。