unoh.github.com

脆弱性評価レポートから何が重要かを読み取る

2007-04-17 08:30:56 +0000

こんにちは!やまもと@テスト番長です。

ちょっと面白い記事がありましたのでご紹介したいと思います。
Interpreting the Results of a Vulnerability Assessment: How to Focus on What’s Important in Your Web Application Security Testing
by Kevin Beaver on 15/03/07
http://www.infosecwriters.com/text_resources/pdf/Vuln_Assessment_KBeaver.pdf

この記事ではセキュリティテスト(ペネトレーションテスト)の調査結果について、ただ鵜呑みにするのは得策ではなく、何が本当に重要であるかを見抜くことを薦めており、実際にセキュリティテストで報告されたいくつかの誤った報告例を挙げています。


後述する例は、様々なウェブアプリケーションを検査するとき発見された実際の脆弱性の例です。 誤診、見落とし、偏執症、とでも言うべきもので、重大に見えるようでいて結局重要ではありません。


1. 脆弱性調査結果: データベースアクセスにつながるSQLインジェクション脆弱性が発見されました。

結論: 適切なバリデーションチェックは指摘箇所の後で行われていました。そして、実際はどんなデータも抽出出来ませんでした。


2. 脆弱性調査結果: ログインページにSSLが存在していません。セッションIDとログインパスワードが平文で流れており、キャプチャ、ハイジャック、およびその他の行為を許容しています。

結論: 管理者はまだサーバのデジタル証明書を装填していませんでした。


3. 脆弱性調査結果: バッファオーバーフロー脆弱性のあるウェブサーバソフトウェアによって、リモートからのログインが許容されています

結論: ファイアウォールとIDSは、ウェブサーバへのすべてのトラフィックを許容する設定になっていました。


4. 脆弱性調査結果: Microsoft FrontPageのバーチャルディレクトリ、FTPディレクトリなどが攻撃される可能性があります。

結論: ディレクトリのパーミッション設定を妥当な状態にして使用することは出来ませんでした。


5. 脆弱性調査結果: .oldという拡張子のバックアップファイルにおいて、 ソースコード漏出と攻略に通じる問題が発見されました。

結論: そのファイルはアプリケーションのセキュリティにほとんど関係ない、ホームページの実行可能なファイルでした。


6. 脆弱性調査結果: 複数の脆弱性を持っている時代遅れのバージョンのApacheウェブサーバがインストールされています。

結論: システム上にApacheは存在しませんでした。


7. 脆弱性調査結果: Google Hacking Database (GHDB)で ファイル、リンク、およびEメールアドレスが発見され、重要な情報が漏洩したのが判明しました。

結論: これらのファイル、リンク、およびEメールアドレスはウェブアプリケーションの操作に必要なものでした。



8. 脆弱性調査結果: Macromedia Dreamweaver remote database scripts は任意のSQLクエリを実行する攻撃者からアクセス可能です。


結論: これらのファイルはマネージャ/管理者アカウントでログインするとアクセス可能であっただけで、そのように意図されていました。




また、セキュリティテストでは場合によって非常に多くの問題点が指摘されますが、それに振り回されないことが大事であり、現実的な対応の優先順位を決めることが大切であるとしています。



あなたのウェブアプリケーションセキュリティがどんなに強固であっても、どこかの誰か常にアプリケーションを攻撃する方法を見つけるでしょう。
それはあなたがファイアウォール、IPS、バリデーションチェック、確実な認証要件、狭めたアクセス制御、強固なウェブサーバ、基本オペレーティングシステム、システムの監視などなどのフェールセイフのコントロールを層にしなければならなかった理由です。
1つのコントロールが失敗しても、あなたにはシステムを保護する他の半ダースのもの施策があります。



恐らく最も重要なことは、現実的な対応を心掛ける事によってあなたは、あなた、あなたのチーム、および開発者のためにより少ない仕事量を導き出し、皆が本当に重要なものに焦点を合わせることができるでしょう。



セキュリティテストに限らずバグレポートの山でも同様の局面に出会うことがありますが(特にあなたが外部に顧客を持つ身なら!)より的確な判断を下せる見識を身に付けるよう努力したいものですね。

#セキュリティテストはツールを使って実施する故に吐き出されたレポートは正確さを欠きかつ刺激的なので、逐一読み解いて対応の優先順位を決めるべし、というお話でした。