|
米NetContinum, Inc. カート・ローマー氏
|
|
3階層それぞれの多様な技術により、情報保護も高度化、複雑化した
|
|
Webアプリケーションでの上位20の脅威
|
Web Application Security(WAS)フォーラム設立に伴い、賛同企業・団体を対象にしたプレ・コンファレンスが3月11日に開催され、米NetContinum, Inc. カート・ローマー氏が、「セキュアなWebアプリケーション」をテーマに講演を行った。
同氏はWebアプリケーションを取り巻く環境について、「Webアプリ層、アプリケーションサーバー層、データベース層からなり、それぞれに多くのテクノロジが使われ、また異なるプラットフォームが混在するなど、ますます複雑化している」とした。そして「情報保護には大きな労力が伴い、Webサービス技術で、より状況は悪化し、漏えいの事例も増えてきている」とした。
同氏は「Webサービスでは80、443ポートのトラフィックを使うため、ファイアウォールやIDSには効果がない」とし、「オフラインでのテストもできず、脆弱性スキャンのツールも完全とは言えない」と述べた。そして「技術については自分がアタックする場合を考えるのが一番良い」とし、「最悪のケースを想定して、もしある脆弱点で防げなくても情報を保護できるような多層防御を行うべき」と語った。また「テストを行う際には運用側に許可をとることも重要だ」とした。
同氏はWebアプリケーションでの脅威となっている上位20のアタック手法を紹介、うちいくつかについて、実際にサーバーとクライアントに2台のノートPCを用いたデモを行った。
リスト中で最上位になっているクロスサイトスクリプティングは、タグの使用が許可された掲示板などのWebアプリケーションによりHTMLが動的に生成されるサイトで、その閲覧時にコマンドを実行させるもの。デモでは、scriptタグを用いて任意のコマンドをWebフォームに入力するだけで、簡単にCookieの取得やWebブラウザのコントロールなどが行われた。
上位から2番目のSQLインジェクションは、Webフォームに文字列を入力することで、SQLデータベースに任意のコマンドを与え、データを抽出したり、改ざんや削除が行えてしまうもの。ここではECサイト内の商品情報やユーザー情報を取得するデモなどが行われた。
そしてECサイトでの商品注文を行う際、プロキシを用いることで、暗号化されたCookieでも、BASE64のデコーダにより瞬時に内容がわかってしまった。またプロキシでキャプチャした情報を改ざんすることで、合計価格を変更してしまうデモも行われた。
またロボット型検索エンジンに対する命令を記述するため、ホスト直下に置かれている「robot.txt」には、サイト内のディレクトリが記されている場合があり、。本来は不可視の部分が見えることで、アクセス制御されていなければ情報の取得が可能になってしまうことも示された。
その後検査ツール「Nitro」を用いてWebサーバーに対するスキャニングも行われたが、こうした脆弱性は発見されなかった。
講演後に行われたパネルディスカッションにおいて同氏は、「保護されるべき情報が流出した場合のビジネスへの影響について、リスクが許容できるものかどうかを、実際の金銭的な被害や企業イメージへの影響も踏まえて評価し、これに見合った対策が行われるべき」と語っていた。
■ URL
Web Application Securityフォーラム
http://www.wasf.net/
Web Application Security プレ・コンファレンス
http://www.wasf.net/conference.html
NetContinuum, Inc.
http://www.netcontinuum.com/
Nikto
http://www.cirt.net/code/nikto.shtml
( 岩崎 宰守 )
2004/03/15 00:03
|