執筆：田嶋　祐介

　前章で述べられているとおり、Webサーバのセキュリティには2段階ある。前章で紹介したWebサーバ自身のセキュリティと本章で紹介するWebサーバの上で動作するWebアプリケーションのセキュリティだ。
　Webアプリケーションとは、ショッピングサイト、ブログ、SNS、掲示板など、Webサーバ上で動作する、動的なコンテンツを実現するアプリケーションプログラムである。Webアプリケーションは、ユーザーからのリクエストに対し、内部で処理を行い、それに応じた結果をユーザーに返す、という動作をしている。

　Webアプリケーションの脆弱性とは、このような動作において、データ取り扱い処理の失念や考慮の不足に起因するセキュリティ上の問題のことを指す。セキュアなWebアプリケーションシステムを開発するためには、Webアプリケーション特有の脆弱性を理解し、対策していくことが重要だ。ここでは、一部の代表的な脆弱性（HTMLインジェクション、SQLインジェクション）について、その調査方法、攻撃手法と想定される被害、対策方法をご紹介する。


　HTMLインジェクションとは、ユーザーのブラウザ上において、サイト管理者の意図しないHTML（スクリプトも含む）を混入させられてしまう問題である。今日のWebサイトは、ユーザーに対し一方的に情報を送るだけでなく、ユーザーとの対話的なやりとりを可能にしている。ショッピングサイト、ブログ、SNS、掲示板などを見て分かるように、ユーザーからのデータを受け取り、受け取ったデータを処理して、動的にページを生成しているのである。クライアント（ユーザーのブラウザ）からサーバ（Webサイトを構成するWebサーバ）へのHTTPリクエスト中に含まれるパラメータが、何らかの形でHTTPレスポンスボディ（ユーザーに返されるページ）に含まれる場合を考えてみよう（図1）。

図1　WebブラウザとWebアプリケーションのやりとり

　このとき、含まれるパラメータにHTMLと解釈されてしまうような文字列があった場合、ユーザーのブラウザは、管理者が本来意図していないページを表示することになる。

　ここで、よく耳にするクロスサイトスクリプティング（以下XSS）という言葉との関連について確認しておきたい。XSSとは、HTMLインジェクション脆弱性を利用した攻撃手法の一形態である。攻撃者に用意されたスクリプトが、攻撃者のサイトを踏んだユーザーから目的のサイトへ送られるために、スクリプトがサイトをまたがって（クロスして）実行されるという意味でその名が付いている。しかし、スクリプトがサイトをまたがるかどうかは、この脆弱性の性質とは直接関係がない。また、スクリプトがサイトをまたがない形のスクリプトインジェクションや、スクリプトを使わないフレームインジェクションなどは、XSSの定義からは外れてしまう。よって、ここではこの種の脆弱性を総称して、HTMLインジェクションという呼び方をする（図2）。

図2　HTMLインジェクションの位置づけ

　これらの脆弱性はいずれも、HTTPレスポンスにHTMLが混入されることによりユーザー側で攻撃が発動してしまう、という点において共通している。HTMLインジェクションを対策するには、Webアプリケーションからユーザーのブラウザに向けてHTMLを出力する際、ユーザーのブラウザ上でサイト管理者が本来意図しないHTMLとして解釈が行われないように、文脈に合わせたエンコードを行う必要がある（対策については後述）。