ビデオ: MaaS360 Open Mic: MaaS360 User and Group Management, 19 June 2018 2024
16進エディタを使用して、アプリケーションがパスワードなどの機密情報をメモリにどのように格納しているかを確認します。 FirefoxとInternet Explorerを使用している場合は、WinHexなどの16進エディタを使用してこれらのプログラムのアクティブメモリを検索し、頻繁にユーザーIDとパスワードの組み合わせを見つけることができます。
Internet Explorerでは、他のいくつかのWebサイトを参照したりアプリケーションからログアウトしたりしても、この情報はメモリに保持されます。このメモリ使用機能は、別のユーザがコンピュータにアクセスした場合、または機密情報のためにシステムメモリを検索できるマルウェアにシステムが感染している場合に、ローカルシステム上でセキュリティリスクを引き起こします。
<!ブラウザで機密情報をメモリに保存する方法は、アプリケーションエラーやシステムメモリダンプが発生し、ユーザーがQA目的でMicrosoft(または別のブラウザベンダー)に情報を送信すると悪いニュースになります。情報がローカルハードドライブのダンプファイルに書き込まれ、そこに座って見つけたとしても、それは悪いニュースです。Webアプリケーションまたは認証が必要なスタンドアロンプログラムに関連するメモリに保存されている機密情報を検索してみてください。あなたは結果に驚くかもしれません。ログイン資格情報の難読化やエンコードの外では、この「機能」は開発者が実際に制御できないWebブラウザの一部なので、残念ながら大きな問題はありません。
<! - 2 - >
機密情報を処理するためにHTTP POST要求ではなくHTTP GET要求が使用される場合、クライアント側で同様のセキュリティ機能が発生します。以下は脆弱なGETリクエストの例です:https:// www。 your_web_app。 co.jp / access PHP? username = kbeaver&password = WhAteVur! &login = SoOn
GETリクエストは、ユーザーのWebブラウザ履歴ファイル、Webサーバーログファイル、およびプロキシログファイルに保存されることがよくあります。ユーザーがサードパーティのサイトを参照すると、HTTP RefererフィールドからGETリクエストをサードパーティのサイトに送信できます。上記のすべてがログイン資格情報と許可されていないWebアプリケーションへのアクセスにつながる可能性があります。
<! - 3 - >
レッスン:HTTP GETリクエストをログインに使用しないでください。代わりにHTTP POST要求を使用してください。何か問題があれば、これらの脆弱性は、ラップトップや物理的に安全でない他のコンピュータのハードドライブを暗号化する良い理由になると考えてください。
