概要
セキュリティに関する勉強会(=脆弱性診断)に参加しました。備忘録代わりのエントリーです。
脆弱性診断なんやかんや
診断の意義
- 安全なWebサイトを構築する
- 開発時に組み込むことでセキュリティコストを抑えたい
- インシデントの発生を抑制
診断の種別
- ホワイトボックス
- ソースベースにした診断。あまり行われない。
- ブラックボックス
- ツールを使ったサイトスキャン(ツール:VEX / OWASP ZAP など)
- スキャンしただけで終わってしまうことも。
→ レポート4,000枚になったりするので、人による精査が望ましい。
見つかる脆弱性
XSSは意外と見かける。「対象箇所が多くて忘れてた」「開発人員が多くてスキルにバラつき」などがその原因。
OWASP ZAP
OWASP
- ウェブアプリケーションセキュリティのオープンコミュニティ。関西にもコミュニティあり。
2018年2月18日にカンファレンスがある。
OWASP ZAP
- 無料で使えるペネトレーションテストツール。
- オープンソースライセンス。
- ユーザグループが活発。
- クライアントとWebサーバの間で稼働し、リクエストをインターセプト → パラメータを変更してサーバへ。
OWASP ZAPの使い方あれこれ
- クイックスタートは使わない。
- モードはプロテクトモード推奨。
- プロテクトモード:指定したURLにだけ攻撃実施
- 「コンテキスト スコープ」というのが診断対象になる。
- 左ペインからサイトを右クリック > コンテキストに含める
- これをしないとブレークポイントはっていても止まらない
- 標準モード:どこでも攻撃できる
- 攻撃モード:すぐ攻撃しちゃう
- プロテクトモード:指定したURLにだけ攻撃実施
- スレッドはシングルスレッド推奨
- ツール > オプション > 動的スキャン > スレッド数を設定
- 静的ファイルは診断対象外にしておく
- ツール > オプション > Global Execlude URL にてチェックつけたものは出力対象外になる
- チェックは全部つけちゃってOK
- 動的スキャン = 攻撃 の始め方
- 今回は下ペインにある履歴から。
- 対象のページ選択 > 右クリック > 攻撃 > 動的スキャン > スキャンを開始
→ これで色々なパラメータを設定してサーバにリクエストを送ってくれる。 - scan progress dialog にて各攻撃の進捗を見れる
- チャートを見るとどの攻撃の時にレスポンスが遅いとかも見れる
→ それを応用して、50レスポンス過ぎたくらいからレスポンス急激に下がるという見方もできる
- チャートを見るとどの攻撃の時にレスポンスが遅いとかも見れる
- alertタブで結果を見る
- 攻撃:XXXX ここの値がパラメータ。手で実施するとき、ここの値を使えばOK
- もちろんZAPのブレークポイント機能使ってパラメータ書き換えてもOK
診断業務の話
- ツールを使ってスキャンかけるのは簡単。そのあとの精査が大変。
- ツールが示すのは可能性だけ。人がどうやって発火させるか。腕の見せ所。
- レスポンス見たりして、「こうしたら発火しそう」って試行錯誤していく。
0 件のコメント :
コメントを投稿