ePortfolio(Javaアプリ)の脆弱性

3月 8, 2007 Security
(Last Updated On: 2007年3月9日)

MOPBでPHPのセキュリティ問題ばかり書いているので書いておきます。

Multiple cross-site request forgery (CSRF) vulnerabilities in TKS Banking Solutions ePortfolio 1.0 Java allow remote attackers to perform unspecified restricted actions in the context of certain accounts by bypassing the client-side protection scheme.

出典:CVE-2007-1332

Multiple cross-site scripting (XSS) vulnerabilities in TKS Banking Solutions ePortfolio 1.0 Java allow remote attackers to inject arbitrary web script or HTML via unspecified vectors that bypass the client-side protection scheme, one of which may be the q parameter to the search program. NOTE: some of these details are obtained from third party information.

出典:CVE-2007-1331

これ、よく見ると銀行用のアプリケーションですね。

「Javaで作っているので安全」と言える訳はありません。「ORMを使っているので安全」と言える訳でもありません。当然、「○○フレームワークを使っているので安全」とも言えません。「Javaを使っているのでコード実行されない」と言う事もありません。JSPをインジェクトして実行できてしまったWebアプリもあります。

Webアプリの安全性は言語やフレームワークだけでは確保できません。
常識ですよね。と言いたいところですがNRIセキュアテクノロジーズによると常識とも言えないと思われます。

http://www.atmarkit.co.jp/news/200607/27/nri.html

先日、Java用のWebアプリ入門書を見ていたら間違った(とまでも言わなくても無用な制限を付ける)セキュリティ確保の方法が紹介してありました。Javaで構築されたWebアプリに使い辛い物が多いのはこういったノウハウが広まっているからなのでしょう。

投稿者: yohgaki