サイバーレジリエンス第5回「ウェブ」
日付:2020年6月6日 / カテゴリー:授業
Webに深刻な脆弱性が見つかる時代がありました。Microsoft IIS の CodeRed, Nimda、ApacheのScalperなどBuffer Overflowsが深刻な脅威とされていた時代です。Webアプリケーションも同じく深刻でした。高木浩光さんが2001年のCSSやWITなどの学会でクロスサイトスクリプト(XSS)脆弱性を指摘されていたことを思い出します。私も2007年頃に脆弱性を発見してはIPAに連絡したり、連絡しなかったりして怒られたりをしていました。
Webアプリケーションの脆弱性は「徳丸本」や「上野本」といった良著も多く独習しやすいという点もあります。いざ自分が授業をする際にも、OWASP Top10があるので説明は他のサイバー脅威と比較すると簡単かもしれません。一方で、OWASP Top10の順番どおりに説明するのは思ったより大変でもありました。授業構成上、HTTPプロトコルの説明をし、プロトコル自体はステートレスであり、これを補うためのCookieについて説明をし、Cookieに含まれる情報が脅威となる可能性について說明したためです。この後で、SQLインジェクションについて説明するのも良いのではないでしょうか。CSRFは、OWASP Top10からはいったん消えましたが、CSRFとSSRFは補足的に説明しておかないとCVEを読む時に苦労するかもしれません。授業の終わりにはBadStoreをOWASP Zap Proxyを使って脆弱性調査するという基本を說明しました。こういうことをきちんと演習で出来るようにしたいですね。