Webアプリケーション脆弱性対策のバックアップ(No.4) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Webアプリケーション脆弱性対策へ行く。
- 1 (2018-01-16 (火) 15:37:10)
- 2 (2018-01-16 (火) 17:29:24)
- 3 (2018-12-21 (金) 11:52:58)
- 4 (2020-10-13 (火) 13:17:23)
- 5 (2020-11-11 (水) 11:00:22)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
主なモノ
その他、一般的な脆弱性
プロダクト
- OWASP ZAP(Zed Attack Proxy)
  - 概要
  - 参考
- Paros
  - 概要
  - 参考
- skipfish
  - 概要
  - 参考
- ratproxy
  - 概要
  - 参考
参考

概要 †

Webアプリケーション脆弱性対策のポイント

主なモノ †

SQLインジェクション対策の実装方針 †

XSS対策の実装方針 †

CSRF(XSRF)対策の実装方針 †

その他、一般的な脆弱性 †

ネットワークの暗号化（HTTPSやSSL-VPN） †

基本的に、電文の内容をガードする。
Sessionにデータを格納すれば、電文には乗らないが、
下記セッションハイジャックで、漏洩する危険はある。

インジェクションに注意 †

他システム、エンドユーザからの入力データは信用しない。

エンドユーザ入力は、必ずチェックしてから利用する。
これは、各種を防ぐ、基本的な防護策である。
ASP.NETでは、以下の方法でインジェクション系の攻撃をチェックできる。

クライアントスクリプトインジェクション †

別名、クロスサイトスクリプティング（XSS）
ASP.NETで検証される（デフォルトの設定で検証は有効）。
詳細：XSS対策の実装方針

SQLインジェクション †

パラメタライズド・クエリで検証される。
詳細：SQLインジェクション対策の実装方針

OSコマンドインジェクション †

チェックが必要な部位は、アプリケーションでチェックする必要がある。

バッファオーバーフロー †

.NETでは発生しないが、アンマネージド・モジュールに入力データを渡す場合は注意。

セッションハイジャックの防止 †

特にSession Cookieを盗み、ユーザのSession情報を盗み出す方法。

ネットワークの暗号化（HTTPSやSSL-VPN） †

ネットワークのパケットキャプチャを行い、Session Cookieを盗む事ができる。
このため、ネットワークの暗号化（HTTPSやSSL-VPN）が必要になる。

XSS対策を行う †

ネットワークの暗号化（HTTPSやSSL-VPN）をしていても、
クロスサイトスクリプティング（XSS）で、Session Cookie、認証チケットなどが漏洩する。
詳細：XSS対策の実装方針

データの格納場所、暗号化・改ざん防止 †

クライアントに見せられないデータ、改ざんの危険性があるデータは、

データの格納場所 †

サーバ側のSessionなどに持たせクライアントから見えないようにする。

暗号化・改ざん防止ロジック †

または、ネットワークの暗号化（HTTPSやSSL-VPN）とは別に、ロジックにより個別に暗号化・改ざん防止する。

この際、

暗号化や、改ざん防止のロジックには、コードやアプリケーション設計の秘匿性を要求しない。
暗号化や、改ざん防止のロジックが露呈してもクラッキングされないようにするために、
一般に流布し安全性が実践的に保証されている暗号化ロジックを利用する。

設計面 †

多重防御に基づいた設計 †

全体のセキュリティバランスをとった、多重防御に基づいた設計

部分的にセキュリティを高めても、費用対効果が高いとはいえない。
複数の手段を組み合わせて実施したほうが、セキュリティ強度は高めやすい。
従って、要求されるセキュリティ強度をバランスよく実現する。

最小特権の原則に従って設計 †

予め、定められた以上のことができないようにアプリケーションを設計する。
ロックダウンの原則を受け入れ、必要なサーバ機能だけを利用可能にする。
ASP.NETの実行ユーザアカウント、DBへのログインアカウントも、適切な権限になるようにする。

運用面 †

セキュリティアップデートの適用 †

セキュリティアップデートは必ず適用すること。
テスト環境でテストした後、タイムリーにアップデートを実施する。
- セキュリティアップデートをタイムリーに適用することが重要。
- このため、製品修正情報の収集～テスト環境などの整備が必要となる。

プロダクト †

エンプラ向けの高価な有償ツールは、
各社使用するものが決まっていることが多いので、

ここでは廉価なOSSツールを中心に調査を行う。

OWASP ZAP(Zed Attack Proxy) †

概要 †

Parosをフォークした開発した動的（能動的）な、
Webアプリケーション脆弱性診断ツール。

OWASPコミュニティが運営する。
- OWASPコミュニティとは、下記に関する情報共有と普及啓発を目的とした
  プロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティ
  - ソフトウェアのセキュリティ環境の現状
  - セキュアなソフトウェア開発を促進する技術・プロセス
- ZAP Projectは、OWASPコミュニティのフラッグシップ・プロジェクトでもある。

2011年にParosからのフォークがされており、
リポジトリを見る限り、現在もアクティブな開発が行われている。

参考 †

OWASP ZAP
https://github.com/zaproxy

OWASP ZAPで開発中にセキュリティ診断！ (1/4)：CodeZine?（コードジン）
https://codezine.jp/article/detail/9504

OWASP ZAPではじめる2016年のウェブアプリケーションセキュリティ：新春特別企画｜gihyo.jp … 技術評論社
http://gihyo.jp/dev/column/newyear/2016/owasp

OWASP Top 10 - 2017 の紹介 | オブジェクトの広場
http://www.ogis-ri.co.jp/otc/hiroba/technical/intro-owasp-top10-2017/

脆弱性診断ツール OWASP ZAP vs 脆弱性だらけのWebアプリケーションEasyBuggy? - Qiita
https://qiita.com/tamura__246/items/9c70ddc1c03cf623cf8d

OWASP ZAPでWEBサイトの脆弱性を簡易チェックする方法まとめ | Lancork
https://www.lancork.net/2013/08/find-vulnerability-owasp-zap/

Paros †

概要 †

？？？が開発した動的（能動的）な、Webアプリケーション脆弱性診断ツール。
20XX年に初回リリースがされており、
- リポジトリを見る限り、開発はあまりアクティブではない。
- 現在はOWASP ZAPがフォークして開発を継続している。

参考 †

Paros download | SourceForge?.net
https://sourceforge.net/projects/paros/

Paros - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
http://security.c-inf.com/index.php?Paros
Web脆弱性診断ツール Parosの使い方 - 備忘録
http://d.hatena.ne.jp/isasaki/20111211

skipfish †

概要 †

Googleが開発した動的（能動的）な、Webアプリケーション脆弱性診断ツール。
2011年に初回リリースがされており、リポジトリを見る限り、開発は停止している。

参考 †

spinkham/skipfish:
Web application security scanner created by lcamtuf for google - Unofficial Mirror
https://github.com/spinkham/skipfish
Google Code Archive
Long-term storage for Google Code Project Hosting.
https://code.google.com/archive/p/skipfish/

セキュリティチェックツールskipfish入門｜apps-gcp.com
G Suite（旧：Google Apps）やGoogle Cloud Platform サービスについて紹介します
http://www.apps-gcp.com/skipfish-introduction/

「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ
https://knowledge.sakura.ad.jp/389/

Skipfishの使い方 – Webアプリのセキュリティ脆弱性スキャナ
http://www.yukun.info/blog/2012/12/skipfish-webapp-security-scanner.html

脆弱性診断ツールskipfishを使ってみて困ったこと | Skyarch Broadcasting
https://www.skyarch.net/blog/?p=3976

ratproxy †

概要 †

Googleが開発した静的（受動的）な、Webアプリケーション脆弱性診断ツール。
2008年に初回リリースがされており、リポジトリを見る限り、開発は停止している。

参考 †

Google Code Archive
Long-term storage for Google Code Project Hosting.
https://code.google.com/archive/p/ratproxy/

グーグル、ウェブ脆弱性検知ツール「RatProxy?」をリリース - CNET Japan
https://japan.cnet.com/article/20376601/

Googleが作ったWebセキュリティ・ツール「ratproxy」
検出できるぜい弱性は42種類，SQLインジェクションは苦手：ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313782/

ratproxyを使ってみたのでメモするでござる - のえら
http://noterr0001.hateblo.jp/entry/20140417/1397724596

参考 †

Tags: :テスト, :ツール類