Webアプリケーション脆弱性検査で見つかった12の事例を元にアクセス制御の問題がどのようなメカニズムで作り込まれるかを紹介し、そうならないために何に気を付けるべきかを開発者の視点に立って解説します。「OWASP TOP 10 - 2013」の「A4 -安全でないオブジェクト直接参照」や「A7 - 機能レベルアクセス制御の欠落」にランクインしているアクセス制御の問題は、インジェクションやクロスサイトスクリプティングと並んで大変危険な脆弱性です。 そもそもアクセス制御はWebアプリケーションの業務要件や仕様に基づいて実装されますが、セキュリティの問題なくアクセス制御を実装するために開発者はどのようにしたら良いのでしょうか。 このセッション発表では、Webアプリケーション脆弱性検査で見つかった12の事例を元にアクセス制御の問題がどのようなメカニズムで作り込まれるかを紹介し、そうならないために何に気を付けるべきかを開発者の視点に立って解説します。
"This presentation will introduce access control problems based on 12 case studies found through web application vulnerability examinations and discuss what mechanisms were built in as well as what points, from a developer’s perspective, need to be considered to avoid such problems. Access control problems, which ranked in the “OWASP TOP 10 – 2013” under “A4 – Insecure Direct Object Reference” and “A7 – Missing Function Level Access Control” alongside injection and cross site scripting, are very serious vulnerabilities. Although access control is implemented according to business requirements and specifications,what do developers need to do in order to implement access control without security problems? This presentation will introduce access control problems based on 12 case studies found through web application vulnerability examinations and discuss what mechanisms were built in as well as what points, from a developer’s perspective, need to be considered to avoid such problems."
