徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

「脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する」を拝見しました。サーバーがアップロード機能を持つ場合にアンチウイルスソフトのインストールが有効であるというお話だと理解しましたが、アプリケーションでのファイルサイズ制限や拡張子・Content-Typeの検証などといった策は、どのような位置づけになりますか?ユーザー(攻撃者)側でどうとでも改ざんできる値であるがゆえに、これらは根本的な策たりえない、ということでしょうか?

2020/06/24 08:28

ウイルスファイルを受け入れてしまうか否かでいうと、ファイルサイズ制限や拡張子・Content-Typeのチェックはあまり意味がありません。ご指摘のように、攻撃者側で変更できる(サイズに関してはむやみに制限できない)からです。
一方、通常の利用法で利用者がウイルスに感染しにくい設計にする余地はあります。たとえば、PDFの場合ですと、生のPDFを利用者にダウンロードさせず、ブラウザのJavaScriptで表示する方法があります。動画で示したレベルでの脅威分析ですと、そこまで細かい分析は難しい(実装設計がまだなので)ので、実装設計レベルで、ウイルス対策をいれると更によい(というか、本来やるべき)と思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
[PayPay」や「LINE Pay」「メルペイ」などの決済アプリはどれをお使いですか?セキュリティ専門家の徳丸さんが使っている決済アプリに興味があります。もしよければ教えて下さい。
Youtubeをよく拝見さてもらっております。
気になったのは、徳丸さんが動画投稿を行ってる目的が気になりました。
情報セキュリティの正しい情報拡散とお仕事のマーケティングがメインとなるのでしょうか?
言語を開発出来るレベルの知識を持って、仕事に挑みたいのですが……参考になる書物などありますでしょうか。

ウィンドウズ インサイド等は力になりますか?
静的コンテンツのみのコーポレートサイトであっても、ウェブアプリケーションとプラットフォームの脆弱性診断を実施する必要性はあるのでしょうか。
徳丸本にはオープンリダイレクタについて、「もともと外部のドメインに遷移する仕様であること」「利用者にとっても外部のドメインに遷移することが自明であること」を両方満たす場合は脆弱性とはならないと書かれていますが、メールなどで他サイトへ誘導するためのリンクとして使うなど、フィッシングへの悪用はできてしまうと思うのですが、それはよいのでしょうか?