攻撃が成功した時のHTTPレスポンスコードについて

Webサイトの脆弱性を突いた攻撃が成功した時のHTTPレスポンスコードは1xx, 2xx, 3xxでしょうか。成功した場合でも、4xx, 5xxで応答する場合はあるのでしょうか？

行動規範の内容に同意します

回答3件

ベストアンサー

少し前に、「404ページを使った脆弱性」というのが発生しました。これは、ファイル認証でチェックを行うSSLについて、

ということで、404ページを正式な認証コードと誤認してしまった、と言うものです（徳丸さんのブログ）。

また、極端な例ですが、脆弱性を使ってデータベースを破壊するような攻撃が成功すれば、それ以降は500しか返さなくなるでしょう。

脆弱性ではありませんが、DoS攻撃は相手のサーバが「応答しない」もしくは「503 Service Temporarily Unavailableを返す」状態になればそれが攻撃成功で、200を返している分には攻撃が通用していない、ということになります。

「本来できないこと」を「攻撃者が成功させられてしまう」のが脆弱性ですので、HTTPのステータスコードは本質的に無関係です。

投稿2017/04/10 04:05

総合スコア146509

例えばクロススクリプティングなどの攻撃を検知して「エラー応答を返す」ようにサーバー側が設計されていれば5xxが応答されるでしょうし、そのような攻撃でダメージ受けないようにそれを単に受け流し、「結果が空であるような振る舞いをする」サーバー設計なら2xxを応答することになるのではないですか？

攻撃の種類によっても判断基準が違うと思います。極端な話、サーバーをダウンさせる目的の攻撃ならば2xxが返らなくなるというのが判断になることもあるでしょうが・・・

テストのために攻撃をしかけて結果がOK/NGかを判断しようとしているのだと想像しますが、サーバー設計がどうなっているか、どんな攻撃のテストなのかの前提なしに応答だけで云々する問題ではないと思います。

投稿2017/04/10 04:04

総合スコア18404

皆さま、ご回答ありがとうございます。有意義に活用させていただきます。

投稿2017/04/10 15:03

退会済みユーザー

総合スコア0

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問をすることでしか得られない、回答やアドバイスがある。