パスワードリセットの不備について説明していきます。

■概要
Webアプリケーションではユーザの認証を行うためにパスワードを利用しますが、パスワードを忘れるユーザも多いため、パスワードをリセットする機能が備わっていることが一般的です。
ただその性質上、パスワードリセット機能に脆弱性があった場合に、影響が大きくなる場合が少なくありません。
セブン＆アイホールディングスの決済サービス「7pay」のようにパスワードリセット機能に不備があったため、サービス停止となった事例もあります。

■想定される被害
パスワードリセットの不備によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・ユーザなりすましによる意図しない変更、登録などのサービス悪用
・ユーザー情報の窃取

■対策
パスワードリセットの不備の対策として挙げられるものは以下のようなものとなります。
・任意のメールアドレスにリセットするためのURLを送信することができないようにする。
・認証のために発行したトークンは、1度使用したら使用不可となるようにする。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　エラーメッセージによる情報露出 - 2024年10月31日
• 脆弱性の種類　脆弱なパスワードポリシー - 2024年8月31日
• 脆弱性の種類　機微情報の平文保存 - 2024年7月31日