「HTML5」利用ウェブアプリのセキュリティ問題に関する調査報告書 - JPCERT/CC

JPCERTコーディネーションセンターは、次世代のHTMLとして策定が進められている「HTML5」を利用したウェブアプリケーション関して、セキュリティ上の問題を抽出、検証し、調査結果として取りまとめた。

今回公開した「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」は、ウェブセキュリティの研究者やウェブアプリケーション開発者を対象とした基礎資料。

「HTML5」は、ブラウザでのデータ格納、クライアントとサーバ間での双方向通信など、高機能なウェブアプリケーションを構築できる一方、攻撃者に悪用された場合に、利用者が受ける影響が大きく、これら影響について周知が進んでいないとし、基礎的な資料を作成した。作業の一部は、委託先であるネットエージェントが担当している。

調査は、2012年8月から翌2013年2月にかけて主要ブラウザを対象に実施。「HTML5」によって追加や拡張された機能によって生じる可能性がある脆弱性や、一部ブラウザに実装されたセキュリティ機能についてフォーカスし、ウェブ構築時の活用方法や留意事項など説明している。

なかでも特に注意が必要な脆弱性として「クロスサイトスクリプティング」「クロスサイトリクエストフォージュリ」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4種類をピックアップ。

また注意が必要な機能として、あらたに追加されたHTML要素や、「WebSocket」や「Web Storage」といったJavaScriptのAPI、「XMLHttpRequest」について取り上げた。調査報告書は、ウェブサイトよりダウンロードすることができる。

（Security NEXT - 2013/10/31 ） ツイート

PR

関連記事

脆弱性の届出が大幅増 - ウェブサイト関連は前四半期比2.2倍に
国内クラウドサービス、海外に比べてセキュリティ対策に遅れ
3Qの脆弱性届け出、ウェブサイト関連が増加
2Qの脆弱性届け出、ソフトとウェブともに減少
企業サイト狙う不正アクセスに注意 - 警察庁ら呼びかけ
地方金融機関の7割、セキュリティリスクを評価できる人材が不足
1Qの脆弱性届け出 - ソフトとウェブサイトのいずれも増加
アプリの4.5％に「緊急」とされる脆弱性 - Synopsys調査
2022年4Qの脆弱性届出 - ソフトとサイトいずれも減少
脆弱性診断の利用者向けに「サイトシール」を提供 - GMO