 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
米NetContinum・Romer氏「システムはWebサービス技術で複雑化した」 |
||||||||||||||||
|
||||||||||||||||
|
~Web Application Security プレ・コンファレンス
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
同氏はWebアプリケーションを取り巻く環境について、「Webアプリ層、アプリケーションサーバー層、データベース層からなり、それぞれに多くのテクノロジが使われ、また異なるプラットフォームが混在するなど、ますます複雑化している」とした。そして「情報保護には大きな労力が伴い、Webサービス技術で、より状況は悪化し、漏えいの事例も増えてきている」とした。 同氏は「Webサービスでは80、443ポートのトラフィックを使うため、ファイアウォールやIDSには効果がない」とし、「オフラインでのテストもできず、脆弱性スキャンのツールも完全とは言えない」と述べた。そして「技術については自分がアタックする場合を考えるのが一番良い」とし、「最悪のケースを想定して、もしある脆弱点で防げなくても情報を保護できるような多層防御を行うべき」と語った。また「テストを行う際には運用側に許可をとることも重要だ」とした。 同氏はWebアプリケーションでの脅威となっている上位20のアタック手法を紹介、うちいくつかについて、実際にサーバーとクライアントに2台のノートPCを用いたデモを行った。 リスト中で最上位になっているクロスサイトスクリプティングは、タグの使用が許可された掲示板などのWebアプリケーションによりHTMLが動的に生成されるサイトで、その閲覧時にコマンドを実行させるもの。デモでは、scriptタグを用いて任意のコマンドをWebフォームに入力するだけで、簡単にCookieの取得やWebブラウザのコントロールなどが行われた。 上位から2番目のSQLインジェクションは、Webフォームに文字列を入力することで、SQLデータベースに任意のコマンドを与え、データを抽出したり、改ざんや削除が行えてしまうもの。ここではECサイト内の商品情報やユーザー情報を取得するデモなどが行われた。 そしてECサイトでの商品注文を行う際、プロキシを用いることで、暗号化されたCookieでも、BASE64のデコーダにより瞬時に内容がわかってしまった。またプロキシでキャプチャした情報を改ざんすることで、合計価格を変更してしまうデモも行われた。 またロボット型検索エンジンに対する命令を記述するため、ホスト直下に置かれている「robot.txt」には、サイト内のディレクトリが記されている場合があり、。本来は不可視の部分が見えることで、アクセス制御されていなければ情報の取得が可能になってしまうことも示された。 その後検査ツール「Nitro」を用いてWebサーバーに対するスキャニングも行われたが、こうした脆弱性は発見されなかった。 講演後に行われたパネルディスカッションにおいて同氏は、「保護されるべき情報が流出した場合のビジネスへの影響について、リスクが許容できるものかどうかを、実際の金銭的な被害や企業イメージへの影響も踏まえて評価し、これに見合った対策が行われるべき」と語っていた。 ■ URL Web Application Securityフォーラム http://www.wasf.net/ Web Application Security プレ・コンファレンス http://www.wasf.net/conference.html NetContinuum, Inc. http://www.netcontinuum.com/ Nikto http://www.cirt.net/code/nikto.shtml
( 岩崎 宰守 )
|
|
|
|
|
|
|