Edge Side Includes のインジェクション

medium Web App Scanning プラグイン ID 114398

Language:

概要

説明

Edge Side Included (ESI) は、動的な Web コンテンツのアセンブリに使用されるマークアップ言語です。これにより、Web 開発者は、Web ページの一部をエッジサーバーでキャッシュできるため、サーバーの負荷が軽減され、ページの読み込み時間が短縮されます。ただし、ESI が不適切に実装されている場合、ESI インジェクション攻撃に対して脆弱になる可能性があります。

ESI インジェクション攻撃では、攻撃者が悪意のある ESI タグを Web ページに挿入します。これらのタグは、エッジサーバーに指示して悪意のあるコンテンツを含めたり、意図しないアクションを実行したりする可能性があります。これにより、データ漏洩、クロスサイトスクリプティング (XSS)、任意のコードの実行など、いくつかのセキュリティリスクが発生する可能性があります。

ソリューション

エッジサイドインクルージョン (ESI) インジェクションの脆弱性を修正するには、厳格な入力検証とサニタイズを実装して、クリーンなデータのみが処理されるようにします。仕様に従い、信頼できるタグの許可リストを使用することで、ESI 解析をセキュリティで保護します。堅牢なコンテンツセキュリティポリシー (CSP) を展開して XSS のリスクを軽減し、最小権限の原則でエッジサーバーを運用し、メインのアプリケーションサーバーから分離します。