teratail
回答率
85.49%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.49%
トップJavaに関する質問
Java

Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

ASP.NET

ASP.NETは動的なWebサイトやWebアプリケーション、そしてWebサービスを構築出来るようにする為、Microsoftによって開発されたウェブアプリケーション開発フレームワークです。

Q&A

解決済

1回答

1666閲覧

Webシステムのセキュリティについて

redhat98
redhat98

総合スコア236

Java

Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

ASP.NET

ASP.NETは動的なWebサイトやWebアプリケーション、そしてWebサービスを構築出来るようにする為、Microsoftによって開発されたウェブアプリケーション開発フレームワークです。

0グッド

2クリップ

投稿2015/07/15 03:43

0

2

データ表示→ボタンをクリックしてデータを削除、という順番で処理を行っているアプリがあるとします。

そこに、クラッカーが「画面にデータ表示していないにもかかわらず、データ削除リクエストを発行」します。
この攻撃を受けた場合、何も対策していないとプログラムが落ちてしまうと思います。

質問内容
① この攻撃に対する対策をするべきでしょうか?? (対応する or しない)
② 対応策を教えて下さい
→ トークンを発行する場合、トークンをどのように管理しているのかおしえてください。

よろしくお願します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

クラッカーが「画面にデータ表示していないにもかかわらず、データ削除リクエストを発行」します。
この攻撃を受けた場合、何も対策していないとプログラムが落ちてしまうと思います。

要するに「不正な操作で、クラッカー(クラッカーが保有するアカウント)に権限のないデータが削除される」ということですかね…いわゆるCSRF攻撃のこと?

この不正な操作で「プログラムが落ち」るということはないでしょうでけど…。あったとしたらクラッキングに無関係だと思うので。

①当然行うし、行っています。
②いわゆる普通のトークンを埋め込んで照合するCSRF対策と同じです。同時にsessionハイジャック対策も合わせて。

投稿2015/07/15 04:09

編集2015/07/15 04:09
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

redhat98
redhat98

2015/07/15 13:15

そうです、CSRF攻撃対策についてです。 今回の想定では次の順番を想定しているのですが ① データを表示 ② ボタンをクリックしたらば、データを削除する 実際の実装は ① DBからデータを取得して、セッションに値を格納 ② 削除リクエストがあった場合は、セッションから値を取得してDBにDELETEを流す という実装になると思うのですが、 トークンを使っていたとしても、①の処理をスキップして②の処理を呼び出せちゃうと思います。 なので、セッションから値を取得する際に、例外がthrowされるのではないかと思いました。 ちょっと、質問の仕方が悪かったのですが、皆さんこれをどうやって回避しているのだろう?と思って質問をしました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.49%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップJavaに関する質問

Webシステムのセキュリティについて