診断レポート作成日 2019 年 8 月 29 日 19:15 作成者ユーザー管理者診断対象情報グループ名プロジェクト名サイト名サイトURL デモ用グループデモ用プロジェクトデモ用プロジェクト 1/15

Size: px

Start display at page:

Download "診断レポート作成日 2019 年 8 月 29 日 19:15 作成者ユーザー管理者診断対象情報グループ名プロジェクト名サイト名サイトURL デモ用グループデモ用プロジェクトデモ用プロジェクト 1/15"

よりおしもかさ
2 years ago
Views:

1 診断レポート作成日 2019 年 8 月 29 日 19:15 作成者ユーザー管理者診断対象情報グループ名プロジェクト名サイト名サイトURL デモ用グループデモ用プロジェクトデモ用プロジェクト 1/15

2 [ 1 ] 診断サマリー : ページ診断ページ名デモページ診断 () の中の値はレポート出力選択を行わない場合の合計です開始時間 2019 年 8 月 16 日 11:26 終了時間 2019 年 8 月 16 日 11:27 実行者クローリングトライアルユーザー PROXY クローリング対象 URL 数 4 テンプレートトライアルログイン名 - レベル件数 CRITICAL 0 HIGH 8 MEDIUM 0 LOW 0 INFO 0 No 危険度プラグイン名件数 1 HIGH SQLインジェクション ( エラーメッセージ ) 2 2 HIGH SQLインジェクション (Time) 2 3 HIGH クロスサイトスクリプティング 4 2/15

3 [ 1 ] 診断対象 URL 一覧 No Method ページ名ターゲットURL 1 GET 2 GET 3 GET 4 POST 3/15

4 [ 1 ] 脆弱性別詳細 HIGH 2 SQL インジェクション ( エラーメッセージ ) 解説外部から入力された値の正当性チェックを行なわずに SQL クエリで使用しているためエラーが発生し画面に SQL エラーメッセージが表示されていますリスク使用しているデータベースの情報などの内部情報がエラーメッセージで表示されるため取得した情報を足掛かりに攻撃される可能性がありますまたエラーが発生する操作を連続して実行した場合サーバーリソースの消費などによるレスポンス低下などの影響が発生する可能性があります解決方法外部から取得した値をサーバー側でそのまま再利用するのではなく値の正当性チェックを行い SQL エラーメッセージは画面に表示しないでくださいその他情報 CVSS2.0 CVSS2.0 Vector CVSS3.0 CVSS3.0 Vector 検知情報 URL 対象パラメータ診断文字列 ToolID ' 検知コード検知ヘッダー検知ボディ MySQL server version You have an error in your SQL syntax 検知タイム検知サイズ 4/15

5 [ リクエストグループ : 1 ] リクエスト 1 リクエストヘッダーボディー POST HTTP/1.1 Accept-encoding: gzip, deflate Accept: */* Useragent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/ Edge/ Content-type: application/x-www-form-urlencoded Accept-language: ja,en-us;q=0.7,en;q=0.3 Authorization: Basic dhdvcmtzonr3dgvzddeymye= Connection: keep-alive Upgrade-insecure-requests: 1 Referer: Host: demo.tworks.co.jp Cookie: showhints=1; PHPSESSID=02ksec9smkmt8e3g7v3ja0iuh7 Content-length: 99 ToolID=0923ac83-8b50-4eda-ad81-f1aac6168c5c%27&pen-test-tool-lookup-php-submit-button=Lookup%2BTool レスポンスタイムコード 200 レスポンスヘッダーメッセージ OK サイズヘッダー HTTP/ OK Date: Fri, 16 Aug :27:16 GMT Server: Apache Logged-In-User: X-XSS-Protection: 0 Strict-Transport-Security: max-age=0 Vary: Accept-Encoding Content-Encoding: gzip Content-Length: Connection: close Content-Type: text/html;charset=utf-8 レスポンスボディ検出箇所 : <tr><td class="error-label">file</td><td class="error-detail">/opt/mutillidae/classes/mysqlhandler.php</td></tr> : <tr><td class="error-label">message</td><td class="error-detail">/opt/mutillidae/classes/mysqlhandler.php on line 211: Error executing query: <br /><br />connect_errno: 0<br />errno: 1064<br />error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for t he right syntax to use near ''0923ac83-8b50-4eda-ad81-f1aac6168c5c''' at line 2<br />client_info: mysqlnd dev $Id: b5c5906d452ec590732a93b0 51f3827e02749b83 $<br />host_info: via TCP/IP<br /><br />) Query: SELECT tool_id, tool_name, phase_to_use, tool_ty pe, comment FROM pen_test_tools WHERE tool_id = '0923ac83-8b50-4eda-ad81-f1aac6168c5c''&#x3 b; (0) [Exception] <br /> : </td></tr> 5/15

6 該当箇所一覧 No メソット対象 URL 対象ハラメータ診断文字列サイス検知コート検知ヘッター検知ホティ検知タイム検知サイス 1 POST ToolID ' MySQL ser ver ve... 2 POST ALL ' MySQL ser ver ve... 6/15

7 [ 2 ] 脆弱性別詳細 HIGH 2 SQL インジェクション (Time) 解説外部から入力された値がそのまま SQL クエリに使用されていますリスク外部から受け渡される値を変更することにより認証回避本来の検索されないデータの表示や権限のないデータの更新が行われる可能性があります解決方法 SQL インジェクション攻撃への最適な対策はプログラム言語のデータベースライブラリに用意されているサーバサイドプリペアードステートメントの使用ですプリペアードステートメントを使用するのが困難な場合は外部から入力される値が SQL として解釈されないよう適切にエスケープ処理を行って下さい今回の場合であれば特殊記号をエスケープする関数を SQL 作成時に常に使用していることを確認してくださいまた保険的対策として入力された値の文字種を厳密にチェックすることも有効ですさらに適切にエラー処理を行い SQL エラーメッセージがブラウザへのレスポンスに含まれないようしてくださいその他情報 CVSS2.0 CVSS2.0 Vector CVSS3.0 CVSS3.0 Vector 6.4 AV:N/AC:L/Au:N/C:P/I:P/A:N 9.4 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L 検知情報 URL 対象パラメータ診断文字列 ToolID ' (select sleep(10) from information_schema.tables) ' 検知コード検知ヘッダー検知ボディ検知タイム検知サイズ 7/15

8 [ リクエストグループ : 1 ] リクエスト 1 リクエストヘッダーボディー POST HTTP/1.1 Accept-encoding: gzip, deflate Accept: */* Useragent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/ Edge/ Content-type: application/x-www-form-urlencoded Accept-language: ja,en-us;q=0.7,en;q=0.3 Authorization: Basic dhdvcmtzonr3dgvzddeymye= Connection: keep-alive Upgrade-insecure-requests: 1 Referer: Host: demo.tworks.co.jp Cookie: showhints=1; PHPSESSID=02ksec9smkmt8e3g7v3ja0iuh7 Content-length: 165 ToolID=0923ac83-8b50-4eda-ad81-f1aac6168c5c%27%7C%28select+sleep%2810%29+from+information_schema.tables% 29%7C%27&pen-test-tool-lookup-php-submit-button=Lookup%2BTool レスポンスヘッダーレスポンスタイムコードメッセージサイズ - ヘッダー 8/15

9 該当箇所一覧 No メソット対象 URL 対象ハラメータ診断文字列サイス検知コート検知ヘッター検知ホティ検知タイム検知サイス 1 POST ToolID ' (select sleep(10) fr om information_sche ma.tables) ' POST ALL ' (select sleep(10) fr om information_sche ma.tables) ' /15

10 [ 3 ] 脆弱性別詳細 HIGH 4 クロスサイトスクリプティング解説パラメーターに JavaScript を挿入することにより任意のプログラムを実行することが可能ですこの脆弱性を悪用してシステムおよび利用ユーザーに被害が発生することが懸念されます悪用例としては以下のことが考えられますセッションハイジャックによる機密情報個人情報の漏洩ユーザーが意図しない情報の送信悪質なページへの誘導表示ページの改竄リスクまたモバイル環境を対象としたサイトなど JavaScript が実行される可能性が低いサイトであっても HTML を直接書き換えることでページの改竄悪質なページへの誘導といった攻撃に利用される可能性があります Json データの場合ブラウザ側で表示前に特殊文字 (<,>,",' 等 ) のエスケープをエスケープしていない場合は Dom によるクロスサイトスクリプティングが行われる可能性があります Json レスポンスで Content-Type: application/json でなく Content-Type: text/html だった場合 Json エスケープでは問題なくともブラウザ上では HTML として処理され Javascript が実行されますこの脆弱性に対応するには Web アプリケーションにおいて出力部分に応じた文字列の適切なエスケープ / エンコード処理を行うことが必要です & & < < > > " " ' ' Web アプリケーション開発時に以下を原則とすることでクロスサイトスクリプティングを含め多くの脆弱性による影響を大幅に緩和することが可能です解決方法入力値の形式や文字種別桁数を厳密に定義し正しい入力値のみを受け付けるように処理する例 : 電話番号の値には桁の半角数字のみを許可など JavaScript などを使用したクライアント側での入出力チェックに依存せずサーバー側で入出力チェックを行うなおクロスサイトスクリプティングの原因は文字列処理が適切にされていないことに起因するため本指摘事項以外にも文字列処理を行う全ての部分に注意する必要がありますそのため指摘部分への対策だけではなくアプリケーション全体の確認と対策を推奨いたします上記に加えて見落としや文字列処理の漏れを防止するため以下のような対策が望まれますアプリケーションの出力に応じエスケープやエンコード処理を行う関数ライブラリクラスを整備して使用する Web アプリケーションフレームワークを使用し文字列処理やデータベースアクセスなどの重要な処理を一元化するまたシステムの仕様上 HTML タグの入力を許可する場合は全てのタグを許可するのではなく必要最低限のタグのみを許可してください許可すべきではない要素例スクリプトタグフレーム関連タグイベントハンドラその他情報 CVSS2.0 CVSS2.0 Vector CVSS3.0 CVSS3.0 Vector 5.8 AV:N/AC:M/Au:N/C:P/I:P/A:N 6.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 検知情報 URL 対象パラメータ診断文字列 _%29%2F%2F%22 page scan" onmouseover=alert(_ _)//" 検知コード検知ヘッダー検知ボディ <td><a href="index.php?do=toggle-hints&page=scan" onmouseover=alert(_ _)//""> </a></td><td> </td> <td><a href="index.php?do=toggle-bubble-hints&page=scan" onmouseover=alert(_ _)//""> <td><a href="index.php?do=toggle-security&page=scan" onmouseover=alert(_ _)//""> <td><a href="index.php?do=toggle-enforce-ssl&page=scan" onmouseover=alert(_ _)//""> 検知タイム 10/15

11 検知サイズ 11/15

12 [ リクエストグループ : 1 ] リクエスト 1 リクエストヘッダーボディー GET _%29%2F%2F %22 HTTP/1.1 Accept-encoding: gzip, deflate Accept: */* Useragent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/ Edge/ Accept-language: ja,en-us;q=0.7,en;q=0.3 Authorization: Basic dhdvcmtzonr3dgvzddeymye= Connection: keep-alive Upgrade-insecure-requests: 1 Referer: Host: demo.tworks.co.jp Cookie: showhints=1; PHPSESSID=02ksec9smkmt8e3g7v3ja0iuh7 レスポンスヘッダーレスポンスタイムコード 200 メッセージ OK サイズ 7620 ヘッダー HTTP/ OK Date: Fri, 16 Aug :26:40 GMT Server: Apache Logged-In-User: X-XSS-Protection: 0 Strict-Transport-Security: max-age=0 Vary: Accept-Encoding Content-Encoding: gzip Content-Length: 7620 Connection: close Content-Type: text/html;charset=utf-8 レスポンスボディ検出箇所 : <td> </td> : <td><a href="index.php?do=toggle-hints&page=scan" onmouseover=alert(_ _)//"">Toggle Hints</a></td><td> </td> <td><a h ref="index.php?do=toggle-bubble-hints&page=scan" onmouseover=alert(_ _)//"">Show Popup Hints</a></td> : <td> </td> : <td> </td> : <td><a href="index.php?do=toggle-security&page=scan" onmouseover=alert(_ _)//"">Toggle Security</a></td> : <td> </td> : <td> </td> : <td><a href="index.php?do=toggle-enforce-ssl&page=scan" onmouseover=alert(_ _)//"">Enforce SSL</a></td> : <td> </td> 12/15

13 該当箇所一覧 No メソット対象 URL 対象ハラメータ診断文字列サイス検知コート検知ヘッター検知ホティ検知タイム検知サイス 1 GET page scan" onmouseover =alert(_ _)//" 7620 <td><a h ref="in... 2 POST page scan" onmouseover =alert(_ _)//" 7623 <td><a h ref="in... 3 GET page _1320_SCAN<"'><sc ript>alert(document. cookie)</script>_40 840_ 7639 "'><script >aler... 4 POST page _1320_SCAN<"'><sc ript>alert(document. cookie)</script>_40 855_ 7643 "'><script >aler... 13/15

14 危険度について診断で検出された問題は下記の基準で危険度を決定しています危険度 :HIGH 以上は早急な対応が必要になる問題です危険度判定基準 CRITICAL HIGH MEDIUM LOW INFO パスワード漏えい管理者権限昇格などシステム全体に影響する問題ですこれらの問題が発生する可能性が極めて高く即日対応する必要があります情報漏洩やなりすましなどユーザー被害が発生する可能性が高い問題ですクロスサイトスクリプティングや SQL インジェクションなどの問題がありインシデント報告や OWASP TOP10 などで上位を占めるセキュリティ上の問題ですこのことから早急に対応する必要がありますシステムの設定情報や管理情報の漏洩等システムに対する攻撃手段を提供する可能性がある問題です直接被害が発生する可能性は高くないですが他のセキュリティ上の問題と組み合わさるとレベルが上がる可能性があります問題になる可能性があるため対策を検討してくださいバージョン情報表示やバナー情報表示など攻撃者の興味を引く可能性のある問題です直接悪用されるよりはこのレベルの情報から攻撃手法を絞っていくことがあります予防するうえで対策を検討してください品質やセキュリティのさらなる向上のために弊社が推奨する項目です暗号スイート確認の安全度暗号スイート確認で検出された安全度は A F までの 7 段階で分けれられています A -> F の順に安全度が下がっていきます安全度のレベル付は Qualys SSL Labs Rating Guide - を参考におこなっています暗号スイート確認は nmap - を利用して行っています 14/15

15 ご要望不具合等のご連絡は下記までメール願います連絡先株式会社トレードワークス 15/15

PowerPoint Presentation

PowerPoint Presentation WAF によるセキュリティ対策の勘所 F5 ネットワークスジャパン株式会社プリセールスコンサルタント楠木健なぜ WAF は難しいのか? たくさんのログが出力され精査できない個々のログが正しい検知なのか誤った検知なのか判断できないアプリケーションの変更に対して WAF のチューニングが追いつかない F5 Networks, Inc 2 原因シグネチャ検知だけに頼った運用をしているため汎用化が難しく

診断レポート 作成日 2019 年 8 月 29 日 19:15 作成者ユーザー管理者 診断対象情報 グループ名プロジェクト名サイト名サイトURL デモ用グループデモ用プロジェクトデモ用プロジェクト 1/15

診断レポート作成日 2019 年 8 月 29 日 19:15 作成者ユーザー管理者診断対象情報グループ名プロジェクト名サイト名サイトURL デモ用グループデモ用プロジェクトデモ用プロジェクト 1/15