-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
日常生活に欠かせないWebアプリやスマートフォンアプリなどは、利便性と同時に悪意ある攻撃者の標的にもなっています。
Webアプリの脆弱性としては、XSS(クロスサイトスクリプティング)やSQLインジェクションといった一般的な脆弱性に加え、仕様や設計の不備が生む「アプリケーションロジックの脆弱性」も見逃せません。例えば、本来購入できない商品が購入できてしまう、決済処理を不正にバイパスされるなどの脆弱性は、自動ツールでは検出されにくく、見落とされがちです。
本ホワイトペーパーでは、実際のECサイトを対象に行ったペネトレーションテストの事例をもとに、ロジックの不備から生じる脆弱性の具体例と、攻撃者視点での手動調査を交えた有効な対策を、専門のセキュリティエンジニアが解説します。アプリ開発者や品質管理者、セキュリティ担当者、ECサイト開発に関わる方などにおすすめの内容です。ぜひご一読ください。
ホワイトペーパーの概要
ホワイトペーパーには、下記の内容を掲載しています。
アプリケーションロジックの不備から生じる脆弱性とは
アプリケーションロジックの不備から生じる脆弱性は、設計や仕様、ビジネスロジック上の問題を攻撃者が悪用し、不正操作や予期しない動作を引き起こすものです。SQLインジェクションやXSSなどの技術的脆弱性とは異なり、アプリ固有の機能や設計に依存します。ここでは、アプリケーションロジックの不備から生じる脆弱性について、技術的脆弱性との違いを交えながら解説します。
アプリケーションロジックの不備への攻撃
ソースコード上で確認できるアプリケーションロジックの不備を突く攻撃は、一般的に「ビジネスロジック攻撃」と呼ばれます。本来できないはずの注文が通ってしまう、割引条件を不正に満たせてしまうといったケースが該当します。ここでは、アプリケーションペネトレーションテストでよく見つかるロジック上の不備の傾向と代表例を、ECサイト診断で実際に検出された事例を交えて解説します。
例)ポイント使用に関する不備
ECサイトにおける商品購入時に、ユーザが保有しているポイントを消費して商品を購入するにあたり、一般ユーザが任意のポイント数を入力できる画面において、攻撃者が負の値を入力することで、ポイントが逆に発行されてしまうという問題がありました。これは、使用ポイント数が正の整数であるかどうかをサーバ側で検証していなかったことが原因です。
「アプリケーションペネトレーションテスト」による対策
アプリケーションロジックの不備から生じる脆弱性への対策例として、ラックが提供しているアプリケーションペネトレーションテストについてご紹介します。本サービスは、アプリやAPIに加え、サーバやAWS/Azureなどのクラウド設定をソースコード・ドキュメントから調査するホワイトボックステストと、攻撃者視点での脅威検証を組み合わせたペネトレーションテストです。Webアプリ脆弱性診断との違いを交えながらご紹介します。
ホワイトペーパーのダウンロード
本ホワイトペーパーは、以下のダウンロードサイトより入手いただけます。
LAC Virtual EXPOで診断30周年特設エリアを公開中!
ラックは1995年4月にセキュリティ診断(脆弱性診断)サービスの提供を開始し、2025年で30周年を迎えることとなりました。これまで支えてくださった皆様への感謝の気持ちを込めて、より多くの情報を発信し、セキュリティに関する知識と理解を深めるお手伝いをしていきます。
診断30周年で発信した情報を一か所に集約し、いつでもご覧いただけるよう、オンライン展示会LAC Virtual EXPOの3階にて「診断30周年 特設エリア」を公開しました(2026年3月31日までの期間限定)。ここでは、順次公開するインタビュー記事やウェビナーのアーカイブ動画、その他お役立ちコンテンツなどを公開していきますので、ぜひお立ち寄りください。
プロフィール
田端 あやの
ペネトレーションテストなどのセキュリティサービスのプロモーションを担当しています。
ラックのセキュリティエンジニアが執筆する、エンジニア向けの情報発信ブログ「ラック・セキュリティごった煮ブログ」の運営もしています。運動不足解消のためベリーダンスやテニスを習っています。
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR