Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010

39,767 views

Published on

  • Webアプリケーション脆弱性診断
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • スライドでお見せできませんが、当日は仕様に基づいた診断の例として、補助ツールにBurp Suiteと、やられWebアプリケーションにBadStoreを使ったデモを行いました。簡単に再現できると思いますので、是非お試し下さい。
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010

  1. 1. 19-E-3<br />上野 宣<br />株式会社トライコーダ<br />代表取締役<br />自分でできるWebアプリケーション脆弱性診断<br />
  2. 2. プロフィール<br />上野 宣(うえの・せん)<br />京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻<br />EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立<br />株式会社トライコーダ 代表取締役<br />情報セキュリティ教育<br />ネットワークシステム/Webアプリケーション脆弱性診断<br />http://www.tricorder.jp/ <br />独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員<br />セキュリティ&プログラミングキャンプ講師<br />情報セキュリティ専門誌 ScanNetSecurity編集長<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />2<br />sen_u<br />
  3. 3. 著書、連載など<br />今夜わかるTCP/IP<br />今夜わかるHTTP<br />今夜わかるメールプロトコル SMTP/POP3/IMAP4<br />ネットでライフハック―仕事をらくらく片付ける超便利!ウェブツール<br />平成22年度情報セキュリティスペシャリスト 試験によくでる午前・午後問題集、<br />ハッカーになるための必読書103選<br />アクセス探偵IHARA―エンターテイメント情報セキュリティコミック<br />実践企業情報ネットワークの保護管理 セキュリティの意識を具現化するためのガイドライン<br />@IT、HackerJapanなどで連載中<br />著書、連載、その他多数<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />3<br />
  4. 4. Webアプリケーション脆弱性診断とは<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />4<br />
  5. 5. 脆弱性診断とは<br />脆弱性診断<br />対象となるWebアプリケーションに対して、攻撃者視点からセキュリティ上の問題を発見し報告<br />セキュリティテスト<br />ペネトレーションテストとの違い<br />さまざまな手を尽くして管理者権限を奪いに行くのがペネトレーションテスト<br />脆弱性診断はテストケースに基づくテスト<br />どちらも多くは専門業者に委託している<br />もしくは脆弱性スキャナーによる診断<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />5<br />
  6. 6. 自分(自社)でできない理由<br />テスト方法がわからない<br />テスト仕様書を作れない<br />どこを診断して良いかわからない<br />脆弱性判定の基準が判らない<br />診断結果報告書の書き方が判らない<br />自社の診断を信用してもらえない<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />6<br />
  7. 7. 診断の基準<br />どのようなテストをすればよいか?<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />7<br />
  8. 8. LASDEC『ウェブ健康診断』の診断仕様を活用<br />財団法人地方自治情報センター( LASDEC )<br />地方公共団体の情報セキュリティ対策などを支援<br />ウェブ健康診断<br />精密検査ではなく定期健康診断<br />定型化されているため低価格での実施が可能<br />診断仕様が公開されている<br />診断仕様は有識者が検討し定めたもの<br />企業などがそのまま採用しても申し分のない内容<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />8<br />http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html <br />
  9. 9. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />9<br />http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html <br />
  10. 10. 診断仕様の内容<br />診断対象脆弱性(診断項目)<br />危険度基準<br />総合判定基準<br />診断時に利用する診断項目毎の検出パターン(目安)<br />脆弱性有無の判定基準<br />診断対象画面(機能)とその定義<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />10<br />
  11. 11. 診断項目<br />SQLインジェクション<br />クロスサイトスクリプティング(XSS)<br />クロスサイト・リクエスト・フォージェリ(CSRF)<br />OSコマンドインジェクション<br />ディレクトリ・リスティング<br />メールヘッダインジェクション<br />パストラバーサル<br />意図しないリダイレクト<br />HTTPヘッダインジェクション<br />認証<br />セッション管理の不備<br />アクセス制御の不備、欠落<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />11<br />選定理由:危険性が高く、検出数が多く<br />最近問題となるケースが多いもの<br />
  12. 12. 危険度の判定<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />12<br />
  13. 13. 危険度<br />危険度:高<br />被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。<br />攻撃を受けると、大量の情報漏洩や改ざんの被害を生じる可能性がある。<br />危険度:中<br />攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。<br />もしくは、能動的な脆弱性であっても大量の情報漏洩や改竄にはつながりにくいもの。<br />危険度:低<br />攻撃成功の確率が低い、もしくは攻撃が成功しても被害が軽微であると考えられる脆弱性。ただし被害に遭う可能性はゼロではない。<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />13<br />
  14. 14. 総合判定基準<br />要治療・精密検査<br />危険度が「高」「中」の脆弱性を検出<br />差し支えない<br />危険度が「低」の脆弱性のみ発見<br />異常は発見されなかった<br />今回の診断で脆弱性が発見されなかった<br />ただし、診断方法が限定されているので「安全である」ことと同義ではない<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />14<br />
  15. 15. 診断に利用する検出パターンと利用基準<br />ウェブ健康診断の仕様書には脆弱性ごとに診断方法が記載されている<br />検出パターン<br />脆弱性有無の判定基準<br />備考<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />15<br />
  16. 16. SQLインジェクション 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />16<br />
  17. 17. クロスサイト・スクリプティング(XSS) 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />17<br />
  18. 18. ディレクトリ・リスティング 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />18<br />
  19. 19. 認証 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />19<br />
  20. 20. セッション管理の不備 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />20<br />
  21. 21. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />21<br />
  22. 22. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />22<br />
  23. 23. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />23<br />
  24. 24. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />24<br />
  25. 25. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />25<br />
  26. 26. 診断の実施<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />26<br />
  27. 27. 診断手順<br />診断対象リストの作成<br />仕様に沿って診断開始<br />レポート作成<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />27<br />
  28. 28. 診断対象リストの作成<br />全画面の診断ではない<br />診断対象となる画面(機能)を限定<br />最低限実施する診断項目を設定<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />28<br />
  29. 29. 診断対象画面<br />ログイン<br />ログアウト<br />DBアクセス<br />入力内容確認<br />エラー<br />ファイル名<br />Cookie発行<br />リダイレクト<br />パスワード変更<br />DB更新<br />メール送信<br />アクセス制御あり<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />29<br />
  30. 30. 最低限実施する診断項目(1)<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />30<br />
  31. 31. 最低限実施する診断項目(2)<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />31<br />
  32. 32. 仕様に沿って診断開始<br />インジェクション系<br />パラメーターに値を渡してGET/POSTする<br />SQLインジェクション、クロスサイトスクリプティング(XSS)<br />クロスサイト・リクエスト・フォージェリ(CSRF)<br />OSコマンドインジェクション、メールヘッダインジェクション<br />パストラバーサル、意図しないリダイレクト<br />HTTPヘッダインジェクション<br />それ以外<br />診断仕様に従って内容を確認したり、値を変更する<br />ディレクトリ・リスティング<br />セッション管理の不備<br />認証<br />アクセス制御の不備、欠落<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />32<br />
  33. 33. インジェクション系の診断には補助ツールを使用<br />ブラウザ単体でも可能だが、インジェクション系は補助ツールを使うと効率がよい<br />hiddenタグやHTTPヘッダーへの入力<br />繰り返し値を入力するなど<br />Proxy系補助ツールがオススメ<br />Burp Suite<br />http://portswigger.net/suite/ <br />WebScarab<br />http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project <br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />33<br />
  34. 34. Proxy系補助ツール<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />34<br />Browser<br />http://........<br />ショッピングサイト<br />Webサーバー<br />Proxy系補助ツール<br />Webブラウザ<br />
  35. 35. Burp Suite<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />35<br />
  36. 36. 練習台にはやられWebアプリケーション<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />36<br />「わざと脆弱性を持たせたWebアプリ」で練習を - @IT<br />http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html <br />
  37. 37. クロスサイト・スクリプティング(XSS) 1<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />37<br />
  38. 38. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />38<br />
  39. 39. 診断レポートの書き方<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />39<br />
  40. 40. 診断レポートの書き方<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />40<br />
  41. 41. Webアプリケーション脆弱性診断後の対応<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />41<br />
  42. 42. 安全なWebサイトを作るためには<br />IPA『安全なWebサイトの作り方 改訂第4版』<br />http://www.ipa.go.jp/security/vuln/websecurity.html<br />発注者のためのWebシステム/Webアプリケーションセキュリティ要件書<br />http://www.tricorder.jp/security_requirement.html<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />42<br />
  43. 43. Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />43<br />
  44. 44. 実践講座もあります<br />セキュリティ人材育成セミナー~ Webアプリケーション診断編 ~<br />3月29日(月)、30日(火)<br />主催:サイバーディフェンス研究所http://www.cyberdefense.jp/<br />Copyright©2010 Tricorder Co.Ltd. All rights reserved.<br />44<br />

×