一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • 脆弱性の種類 不要な情報の存在

不要な情報の存在について説明していきます。

■概要
不要な情報の存在は、システムやアプリケーションが本来ユーザーに提供する必要のない内部情報を、意図せず表示・公開してしまっている状態を指します。
こうした情報が公開されると、攻撃者にとって貴重な手がかり(アタックサーフェス)となり、より深刻な攻撃へとつながるリスクがあります。

■想定される被害
不要な情報の存在によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・エラーメッセージが露出したいた場合、内部処理やデータベース構造が漏れる。
・コメントやデバッグコードの露出から機密情報や設計情報が漏れる。
・バージョン情報が公開されていた場合、使用中のソフトウェアやライブラリのバージョンから既知の脆弱性を狙われる。

■対策
不要な情報の存在の対策として挙げられるものは以下のようなものとなります。
・デバッグ用の詳細なエラーはログにのみ出力し、ユーザーには簡潔なエラーのみ表示する。
・HTMLやJS、設定ファイルに含まれる開発時のメモやコメントを本番環境に残さない。
・ApacheやNginxでは、バージョン情報の表示をオフにする。

The following two tabs change content below.

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア