2度目なので余裕で構えていたら、大きな見落としと不具合が重なり、
"運用開始不可"
と判定されてしまった。
初回と同様に指摘事項を列挙する。
1.認証が必要なページに認証を通さずにアクセスできる。
デバッグモードを解除していなかったためなのだが、ログイン後に行う処理が
ログインしなくても行える状態になっていた。これが"運用開始不可"を導いた。
2.ロックアウト機能がないので、何度でもログインを試みることができる。
ロックアウト機能は実装していたのだが、バグがあり動作しなかった。
3.エスケープ処理を行っていない。プレースホルダーもhtmlspecialcharsも使用していない。
初回試験のときと同じミス。エスケープ処理が頭から抜けていた。
4.テキストファイル、EXE形式ファイルをアップロードできる。
アップロードするファイルの中身をチェックする方法があるとは知らなかった。
参照 https://fanblogs.jp/to70/archive/503/0
5.セッションCookieにHttpOnly属性が設定されていない。
恥ずかしながらHttp Only属性が何なのか知らなかった。
JavaScriptからCookieを参照や操作できなくするための設定らしい。
.htaccess に php_flag session.cookie_httponly On を追加した。
運用開始不可となり、関係者に迷惑をかけたのだが
修正は割と簡単だった。
1,2,3は修正方法を理解していたし、5は.htaccessの修正だけ。
4は対応方法を調べることから始めたので時間がかかったが、
1から5までを併せて半日で修正を終えることができた。
そして、何とか運用を開始できる運びとなった。
脆弱性試験@ -試験前-
脆弱性試験A -実施中-
脆弱性試験B -結果-
タグ:http only属性
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
(05/05)
