1. 19-E-3 上野 宣 株式会社トライコーダ 代表取締役 自分でできるWebアプリケーション脆弱性診断

2. プロフィール 上野 宣（うえの・せん） 京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻 EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立 株式会社トライコーダ 代表取締役 情報セキュリティ教育 ネットワークシステム／Webアプリケーション脆弱性診断 http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員 セキュリティ＆プログラミングキャンプ講師 情報セキュリティ専門誌 ScanNetSecurity編集長 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 2 sen_u

3. 著書、連載など 今夜わかるTCP/IP 今夜わかるHTTP 今夜わかるメールプロトコル SMTP/POP3/IMAP4 ネットでライフハック―仕事をらくらく片付ける超便利!ウェブツール 平成22年度情報セキュリティスペシャリスト 試験によくでる午前・午後問題集、 ハッカーになるための必読書103選 アクセス探偵IHARA―エンターテイメント情報セキュリティコミック 実践企業情報ネットワークの保護管理 セキュリティの意識を具現化するためのガイドライン ＠IT、HackerJapanなどで連載中 著書、連載、その他多数 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 3

4. Webアプリケーション脆弱性診断とは Copyright©2010 Tricorder Co.Ltd. All rights reserved. 4

5. 脆弱性診断とは 脆弱性診断 対象となるWebアプリケーションに対して、攻撃者視点からセキュリティ上の問題を発見し報告 セキュリティテスト ペネトレーションテストとの違い さまざまな手を尽くして管理者権限を奪いに行くのがペネトレーションテスト 脆弱性診断はテストケースに基づくテスト どちらも多くは専門業者に委託している もしくは脆弱性スキャナーによる診断 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 5

6. 自分(自社)でできない理由 テスト方法がわからない テスト仕様書を作れない どこを診断して良いかわからない 脆弱性判定の基準が判らない 診断結果報告書の書き方が判らない 自社の診断を信用してもらえない Copyright©2010 Tricorder Co.Ltd. All rights reserved. 6

7. 診断の基準 どのようなテストをすればよいか？ Copyright©2010 Tricorder Co.Ltd. All rights reserved. 7

8. LASDEC『ウェブ健康診断』の診断仕様を活用 財団法人地方自治情報センター（ LASDEC ） 地方公共団体の情報セキュリティ対策などを支援 ウェブ健康診断 精密検査ではなく定期健康診断 定型化されているため低価格での実施が可能 診断仕様が公開されている 診断仕様は有識者が検討し定めたもの 企業などがそのまま採用しても申し分のない内容 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 8 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

9. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 9 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

10. 診断仕様の内容 診断対象脆弱性（診断項目） 危険度基準 総合判定基準 診断時に利用する診断項目毎の検出パターン(目安) 脆弱性有無の判定基準 診断対象画面（機能）とその定義 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 10

11. 診断項目 SQLインジェクション クロスサイトスクリプティング(XSS) クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション ディレクトリ・リスティング メールヘッダインジェクション パストラバーサル 意図しないリダイレクト HTTPヘッダインジェクション 認証 セッション管理の不備 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 11 選定理由：危険性が高く、検出数が多く 最近問題となるケースが多いもの

12. 危険度の判定 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 12

13. 危険度 危険度：高 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。 攻撃を受けると、大量の情報漏洩や改ざんの被害を生じる可能性がある。 危険度：中 攻撃成功には被害者ユーザの関与（攻撃者の罠のリンクをクリックする等）が必要である受動的な脆弱性。 もしくは、能動的な脆弱性であっても大量の情報漏洩や改竄にはつながりにくいもの。 危険度：低 攻撃成功の確率が低い、もしくは攻撃が成功しても被害が軽微であると考えられる脆弱性。ただし被害に遭う可能性はゼロではない。 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 13

14. 総合判定基準 要治療・精密検査 危険度が「高」「中」の脆弱性を検出 差し支えない 危険度が「低」の脆弱性のみ発見 異常は発見されなかった 今回の診断で脆弱性が発見されなかった ただし、診断方法が限定されているので「安全である」ことと同義ではない Copyright©2010 Tricorder Co.Ltd. All rights reserved. 14

15. 診断に利用する検出パターンと利用基準 ウェブ健康診断の仕様書には脆弱性ごとに診断方法が記載されている 検出パターン 脆弱性有無の判定基準 備考 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 15

16. SQLインジェクション 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 16

17. クロスサイト・スクリプティング(XSS) 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 17

18. ディレクトリ・リスティング 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 18

19. 認証 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 19

20. セッション管理の不備 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 20

21. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 21

22. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 22

23. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 23

24. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 24

25. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 25

26. 診断の実施 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 26

27. 診断手順 診断対象リストの作成 仕様に沿って診断開始 レポート作成 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 27

28. 診断対象リストの作成 全画面の診断ではない 診断対象となる画面(機能)を限定 最低限実施する診断項目を設定 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 28

29. 診断対象画面 ログイン ログアウト DBアクセス 入力内容確認 エラー ファイル名 Cookie発行 リダイレクト パスワード変更 DB更新 メール送信 アクセス制御あり Copyright©2010 Tricorder Co.Ltd. All rights reserved. 29

30. 最低限実施する診断項目(1) Copyright©2010 Tricorder Co.Ltd. All rights reserved. 30

31. 最低限実施する診断項目(2) Copyright©2010 Tricorder Co.Ltd. All rights reserved. 31

32. 仕様に沿って診断開始 インジェクション系 パラメーターに値を渡してGET/POSTする SQLインジェクション、クロスサイトスクリプティング(XSS) クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション、メールヘッダインジェクション パストラバーサル、意図しないリダイレクト HTTPヘッダインジェクション それ以外 診断仕様に従って内容を確認したり、値を変更する ディレクトリ・リスティング セッション管理の不備 認証 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 32

33. インジェクション系の診断には補助ツールを使用 ブラウザ単体でも可能だが、インジェクション系は補助ツールを使うと効率がよい hiddenタグやHTTPヘッダーへの入力 繰り返し値を入力するなど Proxy系補助ツールがオススメ Burp Suite http://portswigger.net/suite/ WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project Copyright©2010 Tricorder Co.Ltd. All rights reserved. 33

34. Proxy系補助ツール Copyright©2010 Tricorder Co.Ltd. All rights reserved. 34 Browser http://........ ショッピングサイト Webサーバー Proxy系補助ツール Webブラウザ

35. Burp Suite Copyright©2010 Tricorder Co.Ltd. All rights reserved. 35

36. 練習台にはやられWebアプリケーション Copyright©2010 Tricorder Co.Ltd. All rights reserved. 36 「わざと脆弱性を持たせたWebアプリ」で練習を － ＠IT http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html

37. クロスサイト・スクリプティング(XSS) 1 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 37

38. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 38

39. 診断レポートの書き方 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 39

40. 診断レポートの書き方 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 40

41. Webアプリケーション脆弱性診断後の対応 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 41

42. 安全なWebサイトを作るためには IPA『安全なWebサイトの作り方 改訂第4版』 http://www.ipa.go.jp/security/vuln/websecurity.html 発注者のためのWebシステム／Webアプリケーションセキュリティ要件書 http://www.tricorder.jp/security_requirement.html Copyright©2010 Tricorder Co.Ltd. All rights reserved. 42

43. Copyright©2010 Tricorder Co.Ltd. All rights reserved. 43

44. 実践講座もあります セキュリティ人材育成セミナー～ Webアプリケーション診断編 ～ 3月29日(月)、30日(火) 主催：サイバーディフェンス研究所http://www.cyberdefense.jp/ Copyright©2010 Tricorder Co.Ltd. All rights reserved. 44