Fiddlerで発覚した、あるSOAPアプリケーションの秘密

先日Fiddlerを使って、あるWebアプリのHTTP通信の中身をチェックしました。チェックが終わったあとFiddlerを閉じずにそのままにしていました。あるSOAPアプリケーションを使った後、ふとFiddlerの画面を見ると、そのSOAPアプリケーションの通信ログが表示されていました。それを見てびっくり!入力したデータが通信に流れているだけでなく、なんとSQL文も一緒に流れていたのです。

このアプリケーション、WindowsアプリなのですがなぜかSOAPを使っています。SOAPだとサーバにアクセスするのに、Windows特有のうっとうしい"共有"などを設定することなくできるので、いいと思っていました。共有だとおそらくポート137,138,445などいろんなポートを開放しておく必要がありセキュリティ上よくないのですが、SOAPだとポート80だけ開放しておけばよい。この点で私としては高評価だったのですが、このFiddlerのログを見て評価が一変!SQLが通信として流れるなんて、あまり聞いたことがない(と思う)。SQLなのでテーブル名やフィールド名もわかるわけで、そういった名前は当然わかりやすい名前ですから、Fiddlerのログを見てリバースエンジニアリングできてしまいそうです。もっと考えていくと、おそらくセキュリティ上の脆弱性に行き着くと思います。

これを考慮して、商品名は伏せておきます。

スポンサーサイト

テーマ: セキュリティ | ジャンル: コンピュータ

第2回ビジネスマネジャー検定試験ーどうやら合格したようです | Home | Fiddlerをやってみた

コメント

コメントの投稿


非公開コメント

このページのトップへ