Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「HTML5」利用ウェブアプリのセキュリティ問題に関する調査報告書 - JPCERT/CC

JPCERTコーディネーションセンターは、次世代のHTMLとして策定が進められている「HTML5」を利用したウェブアプリケーション関して、セキュリティ上の問題を抽出、検証し、調査結果として取りまとめた。

今回公開した「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」は、ウェブセキュリティの研究者やウェブアプリケーション開発者を対象とした基礎資料。

「HTML5」は、ブラウザでのデータ格納、クライアントとサーバ間での双方向通信など、高機能なウェブアプリケーションを構築できる一方、攻撃者に悪用された場合に、利用者が受ける影響が大きく、これら影響について周知が進んでいないとし、基礎的な資料を作成した。作業の一部は、委託先であるネットエージェントが担当している。

調査は、2012年8月から翌2013年2月にかけて主要ブラウザを対象に実施。「HTML5」によって追加や拡張された機能によって生じる可能性がある脆弱性や、一部ブラウザに実装されたセキュリティ機能についてフォーカスし、ウェブ構築時の活用方法や留意事項など説明している。

なかでも特に注意が必要な脆弱性として「クロスサイトスクリプティング」「クロスサイトリクエストフォージュリ」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4種類をピックアップ。

また注意が必要な機能として、あらたに追加されたHTML要素や、「WebSocket」や「Web Storage」といったJavaScriptのAPI、「XMLHttpRequest」について取り上げた。調査報告書は、ウェブサイトよりダウンロードすることができる。

(Security NEXT - 2013/10/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

2022年1Qの脆弱性届け出は176件 - ソフトとウェブともに増加
LINE、賞金総額1万ドルのCTFイベントを開催
ECサイトの情報流出被害、4割で1000万円超 - 責任範囲や技術の理解乏しく
ECサイトの無償脆弱性診断を希望する中小企業を募集 - IPA
2021年4Qの脆弱性届出、ソフトとウェブともに減少
脆弱性の届出、前四半期の約3分の2に - ウェブ関連が半減
攻撃者狙う脆弱な「VPN」、導入や堅牢化のガイダンスを米政府が公開
ゲーム事業者への攻撃が増加 - ただしDDoS攻撃は減少
2021年2Qの脆弱性届出は307件 - ソフトウェアとサイトともに増加
2020年は1930億件のPWリスト攻撃を観測 - 約10億件を観測した日も