「Webアプリケーション脆弱性動向」に対する「感想」にお答えします

[セキュリティ]Webアプリケーション脆弱性動向 by KCCS(T.Teradaの日記)

https://www.kccs.co.jp/contact/paper_websecurity/index.html
昨年KCCS社で実施した脆弱性診断の検査結果の一部を、PC/携帯向けサイトに分けてまとめたものです。資料の分量は二十数ページです。
感想を少しだけ。

ダウンロードありがとうございます。「感想」に対する回答をさせていただきたいと思います。

・数年間の傾向の変化が判れば嬉しかった。変化は余り無いのか。

そうですね。
いまは個人としての立場で書いていますので、あまり踏み込んだことは書けませんが、SQLインジェクションに対する認知度はさすがに上がってきたかなとは思います。それでも、まだありますけど。

・どのような手法での検査結果? 手法により結果が異なるような気も。

リモートによる手検査は必ずかけています。ソースコードまで見ているのは半分くらいではないでしょうか?

・全体のサイトの何%にXXX脆弱性がある、という方が判りやすい(特に携帯)。

そうですね。これについては今後の参考にさせていただきたいと思います。

CSRFが出てこないのが不思議(Critical以外の分類なのか、検査対象外なのか)。

CSRFが出てこない理由をここにかける範囲で書くと、

  • URLにセッションIDを保持する場合、CSRF脆弱性は出てこない(うわぁ、書いちゃった)
  • 危険度Criticalだけ載せているので出てこない可能性

などが考えられますなぁ

XSSは、PCよりも携帯の方が発見率が低い。資料では「画面構成がシンプルだから」としているが、携帯でのXSS対策は余り浸透していない(と思う)ので、少々意外*2。

発見率は低くないですが、攻撃にいたる手順が見つかっているもの(Critical)が低い、ということですね。

・携帯でのリファラーによるセッションID漏洩については、記述無し。

これは、「セッション管理の問題」に括っていると思います。

ご参考になりましたでしょうか?