Movable Type

ホーム » Movable Type » A-Form » A-Form ドキュメント » A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策

A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策

A-Form ドキュメントTOPに戻る 

弊社のMovable Type用プラグインA-Form, A-Member, A-Reserveにおけるセキュリティ脆弱性対策について説明いたします。

A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策について

SQLインジェクション

Webアプリケーションの脆弱性チェックツール「OWASP ZAP」でチェックを実施。A-FormはMovable TypeのORマッパを使用しているので、SQLインジェクション対策はMT本体の対応状況と一致しています。

クロスサイトスクリプティング(XSS)

OWASP ZAPでチェックを実施。
「ファイルアップロード」パーツというフォームパーツでは利用者が画像ファイルをアップロードできますが、その画像ファイルにXSSが仕込まれているケースがあり得ます。これに対して、以下のような防御策を取っています。

URLパラメータ改ざん

「外部パラメータ」パーツ というフォームパーツがあり、フォームに対してGETクエリを渡し、それをフォームからの送信情報に加えることができます。このパラメータ改ざんに対するテストを実施しております。

クロスサイトリクエストフォージェリ(CSRF)

確認画面でワンタイムトークンをhiddenとcookieに対して発行し、受付処理時にその整合性をチェックする方式をとっています。

パス名パラメータの未チェック/ディレクトリ・トラバーサル

OWASP ZAPでチェックを実施。

OSコマンド・インジェクション

OWASP ZAPでチェックを実施。

HTTPヘッダ・インジェクション

OWASP ZAPでチェックを実施。

セッション管理の不備

A-Memberのセッション管理では、Movable Type本体のセッション情報を利用しているため、MT本体の対応状況と一致しています。

メールヘッダーインジェクション

メールアドレス欄にメールアドレス以外を入力しても内部のチェックで弾くため、改行を利用したメールヘッダーインジェクションはエラーになります。

参考:パラメータ改竄の警告について

Aシリーズ3.8.3のリリースに伴い、セキュリティ脆弱性対策として以下のテストを行いました。

最新のテスト状況

Aシリーズのリリースに伴い、セキュリティ脆弱性対策として以下のテストを行いました。

A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策 についてのお問い合わせはこちら

お問い合わせ


会員制サイト構築プラグイン A-Member

予約サイト構築プラグイン A-Reserve

アークウェブのMovable Typeブログ

→アークウェブのMovable Typeブログ

MTによるサイト構築はこちら

アークウェブはシックス・アパート ProNet Japanのメンバーです。
Movable Typeなどシックス・アパート製品のシステム導入や構築を手がけるパートナー企業のネットワークに参加しています。



サービスおよびソリューション一覧

最新情報・投稿をチェック


このページのトップに戻る

Photo by ....

Powered by Movable Type Pro