前回WAFの動作が確認できましたが、デフォルトの設定でPOSTデータがロギングされてしまっていたかと思います。
POSTデータの取り扱いには注意が必要で、必要以上に保存しておくと問題になる場合がある事を念頭に置きましょう。
パスワードがログに保存されてしまう可能性
パスワードは通常はデータベースにハッシュ化(+ソルト)して保存されていることをご存知かと思います。(この仕事をしていると、平文で保存しているサイトもあることを知りますが・・・)
なので、POSTデータを保存するということは、パスワードがログ上で平文で保存されてしまう可能性がある危険性があります。
データベースでハッシュして保存してあっても、ログ上に記録された場合は、平文になってしまうのでハッシュでの保存が意味をなさない可能性があります。
クレジットカード情報がログに保存されてしまう可能性
カード情報がログとして保存されていた場合、クレジットカード情報を持っていない(非保持)としている加盟店が実は持っていたとなる可能性があります。
サイトに脆弱性があり、ログ情報を攻撃者に参照されてしまった場合、そこからクレジットカード情報が流出する原因になる可能性があります。
その場合、加盟店は大ダメージを受けます。
個人でやっているECサイト等であった場合はそのままサイトを続けられなくなる可能性もあるでしょう。
知らない間にカード情報や認証情報保存して、ログを攻撃者に見られて情報漏洩とか恐ろしいですね・・・
サイト管理者は知らなかったと言いたいところでしょうが、世間一般はそんなことは通じない可能性の方が高いです。
最後に
実はこの問題についてはIPA(情報処理推進機構)に問い合わせしようか検討しています。
保存していないつもりで、保存されていたとかであれば結構大きな問題になるんじゃないかなと、CVSSみたいなスコアはつかないと思うんですけどね。
もし前回の動作が問題ない動作であることをご存知な方がいましたら、ご教示いただけると本当に助かります。
ModSecurityのサイトから問い合わせようかなとも考えたのですが、フォームや問い合わせメールが不明でして・・・(英語が苦手なこともありますが)
質問や不明点、情報の提供等あれば、コメントやツイッター等でご連絡頂ければ幸いです。
コメント