Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「HTML5」利用ウェブアプリのセキュリティ問題に関する調査報告書 - JPCERT/CC

JPCERTコーディネーションセンターは、次世代のHTMLとして策定が進められている「HTML5」を利用したウェブアプリケーション関して、セキュリティ上の問題を抽出、検証し、調査結果として取りまとめた。

今回公開した「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」は、ウェブセキュリティの研究者やウェブアプリケーション開発者を対象とした基礎資料。

「HTML5」は、ブラウザでのデータ格納、クライアントとサーバ間での双方向通信など、高機能なウェブアプリケーションを構築できる一方、攻撃者に悪用された場合に、利用者が受ける影響が大きく、これら影響について周知が進んでいないとし、基礎的な資料を作成した。作業の一部は、委託先であるネットエージェントが担当している。

調査は、2012年8月から翌2013年2月にかけて主要ブラウザを対象に実施。「HTML5」によって追加や拡張された機能によって生じる可能性がある脆弱性や、一部ブラウザに実装されたセキュリティ機能についてフォーカスし、ウェブ構築時の活用方法や留意事項など説明している。

なかでも特に注意が必要な脆弱性として「クロスサイトスクリプティング」「クロスサイトリクエストフォージュリ」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4種類をピックアップ。

また注意が必要な機能として、あらたに追加されたHTML要素や、「WebSocket」や「Web Storage」といったJavaScriptのAPI、「XMLHttpRequest」について取り上げた。調査報告書は、ウェブサイトよりダウンロードすることができる。

(Security NEXT - 2013/10/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

アプリのセキュ要件やテスト項目まとめた「OWASP ASVS 4.0」の日本語訳
2020年2Qの脆弱性届出、「サイト」「ソフト」いずれも減
2019年のフィッシング報告は約5.6万件 - 前年の2.8倍に
2020年1Qの脆弱性届け出は263件 - ウェブサイト関連が倍増
4社に1社、パッチ適用頻度は数カ月に1度
レンサバで運営されるウェブへの攻撃、約半数が「SQLi」
2019年4Qは脆弱性の届け出が半減 - ウェブ関連が大幅減
2019年3Qの脆弱性届け出が3割減 - 目立つウェブ関連
イー・ガーディアン、グレスアベイルを子会社化 - 取締役に徳丸氏
2019年2Qの脆弱性届出は499件、ウェブサイト関連が6倍に