Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「HTML5」利用ウェブアプリのセキュリティ問題に関する調査報告書 - JPCERT/CC

JPCERTコーディネーションセンターは、次世代のHTMLとして策定が進められている「HTML5」を利用したウェブアプリケーション関して、セキュリティ上の問題を抽出、検証し、調査結果として取りまとめた。

今回公開した「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」は、ウェブセキュリティの研究者やウェブアプリケーション開発者を対象とした基礎資料。

「HTML5」は、ブラウザでのデータ格納、クライアントとサーバ間での双方向通信など、高機能なウェブアプリケーションを構築できる一方、攻撃者に悪用された場合に、利用者が受ける影響が大きく、これら影響について周知が進んでいないとし、基礎的な資料を作成した。作業の一部は、委託先であるネットエージェントが担当している。

調査は、2012年8月から翌2013年2月にかけて主要ブラウザを対象に実施。「HTML5」によって追加や拡張された機能によって生じる可能性がある脆弱性や、一部ブラウザに実装されたセキュリティ機能についてフォーカスし、ウェブ構築時の活用方法や留意事項など説明している。

なかでも特に注意が必要な脆弱性として「クロスサイトスクリプティング」「クロスサイトリクエストフォージュリ」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4種類をピックアップ。

また注意が必要な機能として、あらたに追加されたHTML要素や、「WebSocket」や「Web Storage」といったJavaScriptのAPI、「XMLHttpRequest」について取り上げた。調査報告書は、ウェブサイトよりダウンロードすることができる。

(Security NEXT - 2013/10/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年3Qの脆弱性届け出は121件 - 前四半期から半減
KDL、医療分野に特化したハッキングコンテストを開催
ウェブサイトの安全運用、必要な「点検」やその「頻度」は?
2017年2Qの脆弱性届け出は269件 - ソフトウェア関連が2.6倍に
セキュキャン修了生向けイベント「セキュリティ・コアキャンプ2017」 - 成長の機会を提供
2017年1Qの脆弱性届け出はソフトウェアが88件 - 情報家電やルータなど目立つ
ECサイトの約半数が1年以内にサイバー攻撃を経験 - 7割で被害
国内ネットワークセキュリティ市場は4172億円 - 2020年度には5000億円弱に
2016年4Qのソフトウェア脆弱性は138件 - 家電とルータで30件超
IDCFとビットフォレスト、クラウドと脆弱性検査サービスを連携