More Related Content
Similar to 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Similar to 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010 (20)
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
- 2. プロフィール 上野 宣(うえの・せん) 京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻 EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立 株式会社トライコーダ 代表取締役 情報セキュリティ教育 ネットワークシステム/Webアプリケーション脆弱性診断 http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員 セキュリティ&プログラミングキャンプ講師 情報セキュリティ専門誌 ScanNetSecurity編集長 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 2 sen_u
- 3. 著書、連載など 今夜わかるTCP/IP 今夜わかるHTTP 今夜わかるメールプロトコル SMTP/POP3/IMAP4 ネットでライフハック―仕事をらくらく片付ける超便利!ウェブツール 平成22年度情報セキュリティスペシャリスト 試験によくでる午前・午後問題集、 ハッカーになるための必読書103選 アクセス探偵IHARA―エンターテイメント情報セキュリティコミック 実践企業情報ネットワークの保護管理 セキュリティの意識を具現化するためのガイドライン @IT、HackerJapanなどで連載中 著書、連載、その他多数 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 3
- 8. LASDEC『ウェブ健康診断』の診断仕様を活用 財団法人地方自治情報センター( LASDEC ) 地方公共団体の情報セキュリティ対策などを支援 ウェブ健康診断 精密検査ではなく定期健康診断 定型化されているため低価格での実施が可能 診断仕様が公開されている 診断仕様は有識者が検討し定めたもの 企業などがそのまま採用しても申し分のない内容 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 8 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
- 10. 診断仕様の内容 診断対象脆弱性(診断項目) 危険度基準 総合判定基準 診断時に利用する診断項目毎の検出パターン(目安) 脆弱性有無の判定基準 診断対象画面(機能)とその定義 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 10
- 11. 診断項目 SQLインジェクション クロスサイトスクリプティング(XSS) クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション ディレクトリ・リスティング メールヘッダインジェクション パストラバーサル 意図しないリダイレクト HTTPヘッダインジェクション 認証 セッション管理の不備 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 11 選定理由:危険性が高く、検出数が多く 最近問題となるケースが多いもの
- 13. 危険度 危険度:高 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。 攻撃を受けると、大量の情報漏洩や改ざんの被害を生じる可能性がある。 危険度:中 攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。 もしくは、能動的な脆弱性であっても大量の情報漏洩や改竄にはつながりにくいもの。 危険度:低 攻撃成功の確率が低い、もしくは攻撃が成功しても被害が軽微であると考えられる脆弱性。ただし被害に遭う可能性はゼロではない。 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 13
- 14. 総合判定基準 要治療・精密検査 危険度が「高」「中」の脆弱性を検出 差し支えない 危険度が「低」の脆弱性のみ発見 異常は発見されなかった 今回の診断で脆弱性が発見されなかった ただし、診断方法が限定されているので「安全である」ことと同義ではない Copyright©2010 Tricorder Co.Ltd. All rights reserved. 14
- 29. 診断対象画面 ログイン ログアウト DBアクセス 入力内容確認 エラー ファイル名 Cookie発行 リダイレクト パスワード変更 DB更新 メール送信 アクセス制御あり Copyright©2010 Tricorder Co.Ltd. All rights reserved. 29
- 32. 仕様に沿って診断開始 インジェクション系 パラメーターに値を渡してGET/POSTする SQLインジェクション、クロスサイトスクリプティング(XSS) クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション、メールヘッダインジェクション パストラバーサル、意図しないリダイレクト HTTPヘッダインジェクション それ以外 診断仕様に従って内容を確認したり、値を変更する ディレクトリ・リスティング セッション管理の不備 認証 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 32
- 42. 安全なWebサイトを作るためには IPA『安全なWebサイトの作り方 改訂第4版』 http://www.ipa.go.jp/security/vuln/websecurity.html 発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 http://www.tricorder.jp/security_requirement.html Copyright©2010 Tricorder Co.Ltd. All rights reserved. 42