情報処理安全確保支援士攻略サイト

情報処理安全確保支援士の情報を続々更新中

HTTPの脆弱性

HTTP(Hypertext Transfer Protocol)の脆弱性について述べる。

 

脆弱性1】

送受診データが平文でネットワークを流れる。

 

脆弱性によって想定されるリスク

⇒パケット盗聴による情報漏洩。

 

●対策案

 ・HTTP over TLSHTTPS:443/TCP)を使用

 

脆弱性2】

ベーシック認証において、ほぼ平文(BASE64エンコード)で認証情報がネットワークを流れる。

 

脆弱性によって想定されるリスク

⇒パケット盗聴による認証情報の漏洩。

 

●対策案

 ・フォームを用いた認証+TLSHTTPS:443/TCP)を使用

 ・ダイジェスト認証を使用

 

脆弱性3】

プロトコルにはセッション管理の仕組みがないため、アプリケーション側で行う必要がある。

 

脆弱性によって想定されるリスク

⇒セッション管理機能の脆弱性による認証情報の漏洩、セッションハイジャックによるなりすまし。

 

●対策案

 ・アプリケーションの仕様、クライアント環境などに応じた適切なセッション管理機能の実装。