セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



HTTPSの適用漏れ

概要

 「HTTPSの適用漏れ」は、ユーザにパスワードや個人情報を入力させるWebサイトで、本来HTTPSで保護すべきコンテンツを、HTTPSを使わずに送受信した場合に起こる問題です。

1:HTTPSで保護されていない場合、ユーザから送信されるデータや、サーバから返すコンテンツは、暗号化されずに通信されます。
2:この通信に機密情報が含まれていた場合、攻撃者によって盗聴され情報漏えいが起こる可能性や、通信したデータを改ざんされる可能性があります。


・注意を要するWebサイト

ユーザにパスワードや個人情報を入力させるWebサイトで注意が必要です。

HTTPSの適用漏れ

httpsの適用漏れ

脅威・発生しうるリスク

 攻撃者によって通信の盗聴や改ざんをされた場合、次のような被害を受ける可能性があります。

・機密情報の漏えい

 パスワードや個人情報などの機密情報を送受信するWebサイトでは、HTTPSが使われユーザとWebサイト間の通信は暗号化されています。しかし、「HTTPSの適用漏れ」があった場合、暗号化されずに機密情報の送受信が行われます。攻撃者によって通信データを盗聴されると、送受信しているデータが漏えいする可能性があります。
 またHTTPSは、ユーザとWebサイト間で送受信されるデータを、改ざんから保護する機能を持っています。パスワードや個人情報などの機密情報を入力するフォーム画面を、改ざんから守るためHTTPSで保護することが必要です。しかし、これらのフォーム画面に対してHTTPSの適用漏れがあった場合、通信経路上で攻撃者によってフォーム画面が改ざんされる可能性があります。攻撃者によって、パスワードや個人情報などの機密情報を入力するフォーム画面が改ざんされると、ユーザが入力したパスワードや個人情報などの機密情報が攻撃者のサーバに送信され、情報漏えいが起こる可能性があります。

・セッションの乗っ取り

 セッションIDを使用しているWebサイトがHTTPSで保護されていない場合、機密情報と同様にセッションIDが漏えいする可能性があります。攻撃者によってセッションIDが盗まれ、盗まれたセッションIDが使われると、セッションが乗っ取られ、なりすましの被害を受ける可能性があります。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ