Hello there, ('ω')ノ
脆弱な設計は個人データの漏洩につながるを。
脆弱性:
論理的な欠陥
記事:
システム間の依存関係とアプリケーションの統合のために。
存在する問題について説明することに。
簡単に言うと、2つのアプリケーションには脆弱性がありませんが。
1つと見なすと、セキュリティ上の大きな懸念が生じて。
バックグラウンド:
脆弱性は、大手国際企業の脆弱性報奨金プログラムで特定されて。
機密保持の理由から詳細を共有することはできず。
会社のバグ報奨金プログラムの範囲には、まったく同様の目的で。
使用された複数のドメイン(アプリケーション)が含まれていて。
これらのアプリをテストしているときに、アプリ内の特定の機能の。
コードが共有されていることに簡単に気付くことができて。
それは両方のアプリケーションが同じバックエンドデータソースを照会して。
ユーザに関する情報を取得していて。
また、共有されたメカニズムには、登録が成功した後に。
更新できる機密性の高い個人データを処理(読み取り/書き込み)するメカニズムが。
含まれていたものの、登録メカニズム自体は明確に分離されていたので。
下の図で脆弱な設計を視覚化してみると。
認証が成功すると、アプリケーションサーバはバックエンドデータソースに。
要求を送信し、認証中に提供された電子メールアドレスに基づいて。
個人データを照会して。
誰かがApp1にすでに登録されているのと同じ電子メールアドレスを使用して。
App2に登録すると他のユーザのデータへのアクセスができて。
つまり、データベースに登録されているユーザのメールアドレスを知っているだけで。
そのユーザの個人データにアクセスできて。
ちなみに、この種の攻撃を防ぐためのアカウントアクティベーションメールや。
その他のメカニズムはなくて。
概要:
安全なシステムを構築することは。
システム内の脆弱性を見つけることよりもはるかに困難で。
実際には影響を与えられない複数のアプリケーション設計を。
統合する必要がある場合、構築はさらに困難になって。
Best regards, (^^ゞ
