Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「HTML5」利用ウェブアプリのセキュリティ問題に関する調査報告書 - JPCERT/CC

JPCERTコーディネーションセンターは、次世代のHTMLとして策定が進められている「HTML5」を利用したウェブアプリケーション関して、セキュリティ上の問題を抽出、検証し、調査結果として取りまとめた。

今回公開した「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」は、ウェブセキュリティの研究者やウェブアプリケーション開発者を対象とした基礎資料。

「HTML5」は、ブラウザでのデータ格納、クライアントとサーバ間での双方向通信など、高機能なウェブアプリケーションを構築できる一方、攻撃者に悪用された場合に、利用者が受ける影響が大きく、これら影響について周知が進んでいないとし、基礎的な資料を作成した。作業の一部は、委託先であるネットエージェントが担当している。

調査は、2012年8月から翌2013年2月にかけて主要ブラウザを対象に実施。「HTML5」によって追加や拡張された機能によって生じる可能性がある脆弱性や、一部ブラウザに実装されたセキュリティ機能についてフォーカスし、ウェブ構築時の活用方法や留意事項など説明している。

なかでも特に注意が必要な脆弱性として「クロスサイトスクリプティング」「クロスサイトリクエストフォージュリ」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4種類をピックアップ。

また注意が必要な機能として、あらたに追加されたHTML要素や、「WebSocket」や「Web Storage」といったJavaScriptのAPI、「XMLHttpRequest」について取り上げた。調査報告書は、ウェブサイトよりダウンロードすることができる。

(Security NEXT - 2013/10/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

ホスティングサービス上のWAF検知、約34%が「WordPress」狙い - SQLi攻撃目立つ
GMOペパボ、情報セキュリティ事業を行う新会社を福岡に設立
重要インフラの3社に1社でランサム被害 - 11%は感染20台以上
2018年2Qの脆弱性届出は158件 - ソフトウェア関連が倍増
毎月100件超のウェブ改ざん、委託状況含めてチェックを
GMOペパボ、不正アクセスで調査報告 - 原因はシステムとマネジメント体制の不備
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
米SymantecとNTTセキュリティ、CASBの活用で協業
2017年4Qの脆弱性届出は70件 - ソフトウェア関連が大幅減
2017年3Qの脆弱性届け出は121件 - 前四半期から半減