目次目次... 2 はじめに... 3 注意事項... 3 本書の対象読者ソースコード検査の概要ソースコード検査とはソースコード検査のタイプと注意事項オープンソースの脆弱性検査ツールの紹介脆弱性検

Size: px

Start display at page:

Download "目次目次... 2 はじめに... 3 注意事項... 3 本書の対象読者ソースコード検査の概要ソースコード検査とはソースコード検査のタイプと注意事項オープンソースの脆弱性検査ツールの紹介脆弱性検"

まいえかつもと
6 years ago
Views:

1 IPA テクニカルウォッチウェブサイトにおける脆弱性検査手法の紹介 ( ソースコード検査編 ) ~ オープンソースのソースコード脆弱性検査ツールを用いた検査手法の紹介 ~ 1

2 目次目次... 2 はじめに... 3 注意事項... 3 本書の対象読者ソースコード検査の概要ソースコード検査とはソースコード検査のタイプと注意事項オープンソースの脆弱性検査ツールの紹介脆弱性検査ツールの使用例 LAPSE RIPS 評価まとめ LAPSE+ の特徴 RIPS の特徴おわりに

はじめに 2013 年は改ざん情報流出などのウェブサイトに関連したインシデントが多数発生するなどウェブサイト運営者を悩ませたこれらインシデントの中にはウェブアプリケーションの脆弱性を悪用したものも多く開発時の脆弱性が放置されていたことが原因の 1 つであるウェブサイトを狙った攻撃から自組織のウェブサイトを守るには開発時からセキュアな設計十分な脆弱性対策を行い

3 はじめに 2013 年は改ざん情報流出などのウェブサイトに関連したインシデントが多数発生するなどウェブサイト運営者を悩ませたこれらインシデントの中にはウェブアプリケーションの脆弱性を悪用したものも多く開発時の脆弱性が放置されていたことが原因の 1 つであるウェブサイトを狙った攻撃から自組織のウェブサイトを守るには開発時からセキュアな設計十分な脆弱性対策を行い安全な状態でリリースすることが大切である ( 図 1) 脆弱性対策を行う方法の1つとしてソースコード検査があるソースコード検査は自動的にソースコード内の問題点を洗い出すことができる手法であるため手作業の検査に比べ効率的に対策が行える本書ではウェブサイトを構成するソフトウェア群の中で脆弱性を作りこみやすい " ウェブアプリケーション " にフォーカスを当てウェブアプリケーションの開発者が利用しやすいオープンソースのソースコード検査ツールを用いた検査について紹介している IPA ではソースコード検査ツールの有効性を周知するとともに本手法がウェブアプリケーションの開発工程に取り入れられることを期待している注意事項図 1: 各工程におけるセキュリティ対策本書で紹介している検査手法はウェブアプリケーションの開発者がツールを利用するまでの手順にフォーカスを当てており詳細な機能については言及していない機能の詳細は各ツールの提供元にて確認してください本書の対象読者ウェブアプリケーション開発者 3

1. ソースコード検査の概要 1.1. ソースコード検査とはソースコード検査とはアプリケーションの基となるソースコードに対して脆弱性の可能性のある特定のパターンや不適切な構文などの問題点を自動的に検出する手法であるソースコード検査の利点は機械的に脆弱性検査が行われるため人が逐次チェックするのに比べて確実かつ迅速に対策できるところにある一般的には

4 1. ソースコード検査の概要 1.1. ソースコード検査とはソースコード検査とはアプリケーションの基となるソースコードに対して脆弱性の可能性のある特定のパターンや不適切な構文などの問題点を自動的に検出する手法であるソースコード検査の利点は機械的に脆弱性検査が行われるため人が逐次チェックするのに比べて確実かつ迅速に対策できるところにある一般的にはソフトウェア開発において脆弱性を作り込む実装やテスト検証工程で採用されるウェブアプリケーションの開発においては SQL インジェクションやクロスサイトスクリプティングなどの脆弱性を作り込み易いソースコード検査ツールを適用することでこれらの脆弱性の可能性があるソースコード上の当該行を検知することができるまたツールによっては短かすぎる関数名などコーディング規約に違反するソースコード上の問題点を検出してくれるものもあるソースコード全体を確認するため通常の挙動では実行されない処理の問題などの潜在的な問題を検出することもできるこれらの検知機能によりセキュアなソースコードに仕上げることができる図 2: ソースコード検査イメージ 4

1.2. ソースコード検査のタイプと注意事項本レポートではソースコード検査ツールをソースコード入力型統合開発環境組込み型として分類する 2 つの利用方法はそれぞれ特徴があり開発環境やプロジェクトスタイルに応じて適宜選択してほしい 2つのタイプについて説明する (1) ソースコード入力型ソースコード入力型はウェブサーバ等の検査環境を準備し

5 1.2. ソースコード検査のタイプと注意事項本レポートではソースコード検査ツールをソースコード入力型統合開発環境組込み型として分類する 2 つの利用方法はそれぞれ特徴があり開発環境やプロジェクトスタイルに応じて適宜選択してほしい 2つのタイプについて説明する (1) ソースコード入力型ソースコード入力型はウェブサーバ等の検査環境を準備し開発者が作成したソースコードを検査ツールに読み込ませて検査するタイプである検査環境を構築する為複数人で共有して検査することも可能である ( 図 3) また本タイプはソースコードを投入しレポートを受け取るスタイルであるため逐次チェックする形態ではなくモジュール単位やオブジェクト単位など機能単位に纏まった単位のソースコードの検査を想定している主に実装工程の最後やテスト検証工程で利用される図 3: ソースコード入力型利用イメージ 5

(2) 統合開発環境組込み型統合開発環境組込み型はアプリケーションを開発する環境にソースコード検査のツールをプラグインとして組み込んで検査するタイプである ( 図 4) 開発環境に組み込んでいるため作成したソースコードに対して逐次問題の有無を確認しすぐに修正することができるそのため一般的に実装工程中に利用されることが多いなお

6 (2) 統合開発環境組込み型統合開発環境組込み型はアプリケーションを開発する環境にソースコード検査のツールをプラグインとして組み込んで検査するタイプである ( 図 4) 開発環境に組み込んでいるため作成したソースコードに対して逐次問題の有無を確認しすぐに修正することができるそのため一般的に実装工程中に利用されることが多いなおアプリケーション開発者の統合開発環境毎にソースコード検査ツールを組み込まなければならないため開発メンバの多いプロジェクトや開発メンバの入れ替わりが多いプロジェクトでは環境準備に多少の手間がかかる図 4: 統合開発環境組込み型利用イメージ (3) 注意事項ソースコード検査を行う上で以下の点を注意してほしいアクセス制御認可制御が実装されていないなどのソースコード上に存在しない設計の不備は検出することができない検知はツール内で定義された特定のパターンに該当するソースコードの有無で判断されるため誤検知未検知の有無の精査が必要であるこのことから検査ツールの使用だけではなく各工程での脆弱性対策を組み合わせて実施することが大切だ 6

7 1.3. オープンソースの脆弱性検査ツールの紹介オープンソースのソースコード検査ツールは検査のタイプや範囲が異なるツールが多数存在する今回はウェブアプリケーションでよく利用される PHP や Java 言語を検査できるアプリケーションを対象に紹介する表 1: オープンソースの脆弱性検査ツール一覧タイプツール名対応言語 UI 開発元ライセンス Java PHP その他特徴ダウンロード URL RIPS - - GUI the Month of PHP Security GPLv3 ウェブアプリケーションとして動作するツール環境作成に他のアプリケーション (PHP Apache 等 ) を組み込む必要があるため中級者向けのツー projects/rips-scanner/ ルソースコード入力型 PHP-Sat - - CUI PHP- SAT.org LGPL Linux 上で CUI で実行できるツール環境作成に他のアプリケーション (Nix package manager 等 ) を組み込む必要がある点および CUI であるため中級者向けのツール PhpSatReleases RATS (Rought Auditing Tool for Security) - (Perl CUI C++ 等 ) Secure Software Inc GPLv2 Linux 上で CUI で実行できるツール環境が Linux であり環境に応じて関連するパッケージのバージョンアップが必要となるため中級者向けのツール p/rough-auditing-toolforsecurity/downloads/list 統合開発環境組込み型 LAPSE+ - - GUI OWASP GPLv3 FindSecurityBugs - - GUI Bill Pugh and David Hovemeyer LGPL アプリケーションのセキュリティに関する脆弱性を検知するプラグイン導入等が容易であるため初級者向けのツール Findbugs の機能を拡張しセキュリティに特化した検査を追加するプラグイン導入等が容易であるため初級者向けのツール de/14 o/find-sec-bugs/ FindBugs - - GUI Bill Pugh and David Hovemeyer LGPL Windows や Linux など様々な環境で動作する簡易な脆弱性や危険な構文などを検査することができる導入等が容易であるため初級者向けのツール rge.net/ ソースコード入力型統合開発環境組込み型 PMD (C# Ruby 等 ) CUI GUI InfoEther, LLC BSD Licence Windows や Linux など様々な環境で動作し機能の制限があるが対応言語も広い危険な構文などを検査することができる導入等が容易であるため初級者向けのツール net/ Jlint - - CUI GUI Konstantin Knizhnik GPLv2 Windows や Linux など様々な環境で動作する危険な構文などを検査することができる導入等が容易であるため初級者向けのツール projects/jlint/ 表 1 から見てわかるようにツールにより対象言語や利用の形態など様々である次章ではこれらのツールの中からソースコード入力型ツール RIPS 開発環境組込み型 LAPSE+ についてツールの使い方や検査手順について説明する 7

8 2. 脆弱性検査ツールの使用例 Java 対応の LAPSE+ および PHP 対応の RIPS を使用して評価を実施した今回は評価環境として下記の演習ツールを使用した AppGoat 1 ( 開発言語 :PHP) WebGoat 2 ( 開発言語 :Java) これらの演習ツールは学習用に脆弱性を入れ込んだソースプログラムを一部に含んでおりクロスサイトスクリプティングや SQL インジェクションなどの脆弱性を内在している 2.1. LAPSE+ (1) ツール概要 LAPSE+ は OWASP が提供するツールで統合開発環境にプラグインとして組み込んで動作する開発者はコーディングを行いながらその場で脆弱性検査と修正が行える為作業の手戻りが少なく効率的に作業を進めることができる本ツールは不正コード注入の危険性のあるコーディング箇所クロスサイトスクリプティングや SQL インジェクションなどの主要な脆弱性について検査することができる (2) ツール利用手順 LAPSE+ のインストールから脆弱性検査結果出力までの一連の使用方法を以下に記すまた組込み統合開発環境として Eclipse を利用しているなお本来であればプログラムの実装時に利用することが一般的であるが今回の使用方法の例では既に作成されたソースを開発環境に組込み検査を実施している環境準備 1 LAPSE+ を動作させるために統合開発環境として Eclipse および Java の環境を準備する 2 以下の URL から LAPSE+( LapsePlus_2.8.1.jar) をダウンロードする 1 IPA が提供している体験的に脆弱性を学習できるツール 2 OWASP が提供しているセキュリティ演習用の学習ツール 8

9 3 ダウンロードした LAPSE+ を Eclipse の plugins フォルダに保存する図 5:Eclipse の plugins フォルダへの保存 4 Eclipse を起動し今回の検査対象となる WebGoat のソースコードを取り込む図 6: 検査対象アプリケーションの読み込み 9

10 5 LAPSE+ のプラグインを呼び出すためにメニューからウィンドウ - ビューの表示 - その他の順に開く図 7: プラグインの呼び出し1 6 表示されたダイアログから Lapse+ 2.8 配下のビューを選択し OK ボタンを押下する図 8: プラグインの呼び出し 2 10

11 7 Eclipse 内にプラグインの機能が呼び出される図 9: プラグインの呼び出し 3 検査実行 8 表示されたビューの中から Vulnerability Sinks を選択し Find sinks ボタンをクリックする Find sinks ボタン図 10: 検査の実行 11

12 結果確認 9 しばらく待つと検査結果が表示される図 11: 検査結果項目 Suspicious call メソッドカテゴリープロジェクトファイル行表 2: 結果項目説明脆弱性と疑われる処理使われているメソッド名脆弱性の種類脆弱性を含む可能性があるプロジェクト名脆弱性を含む可能性があるファイル名脆弱性を含む可能性があるコードの行数 12

脆弱性評価検知された脆弱性が誤検知である可能性もあるため検査結果を基に脆弱性の存在を確認してみる今回の検査結果では発見された 90 件が脆弱性とみなされた件数が多いため SQL インジェクションおよびクロスサイトスクリプティングの脆弱性に対して数件確認し誤検知の有無を確認した a)sql インジェクションの脆弱性確認 1( 正しく検知できたケース ) SqlAddData.

13 脆弱性評価検知された脆弱性が誤検知である可能性もあるため検査結果を基に脆弱性の存在を確認してみる今回の検査結果では発見された 90 件が脆弱性とみなされた件数が多いため SQL インジェクションおよびクロスサイトスクリプティングの脆弱性に対して数件確認し誤検知の有無を確認した a)sql インジェクションの脆弱性確認 1( 正しく検知できたケース ) SqlAddData.java で検知された SQL インジェクションの脆弱性について確認する図 12:SQL インジェクションの脆弱性確認 1 検査の結果 statement.execute(query); の箇所が脆弱性の疑いのある箇所として検知された通常 SQL インジェクションはユーザが入力したパラメータにより SQL 文が組立てられないような実装をすることで意図しない SQL 文が外部から注入されるのを防止する具体的にはプレースホルダ 3 等で実装される実行されている SQL 文の箇所を確認すると String query = "SELECT * FROM salaries WHERE userid = '" + userid + "'"; となっており外部からのパラメータを SQL 文に使用しており SQL インジェクションの対策がされていないことが分かるつまり statement.execute(query); の処理は脆弱性を誘発する可能性が高いことになり正しく検知できているものと考えられる 3 SQL 文の構成する際にパラメータの入力部分をあらかじめ記号に置き換えておき SQL の実行時に実際の値を機械的に割り当てる手法 13

b)sql インジェクションの脆弱性確認 2( 誤検知したケース ) 続いて UpdateProfile.java で検知された SQL インジェクションの脆弱性について確認する図 13:SQL インジェクションの脆弱性確認 2 検査の結果 PreparedStatement ps = WebSession.getConnection(s).

14 b)sql インジェクションの脆弱性確認 2( 誤検知したケース ) 続いて UpdateProfile.java で検知された SQL インジェクションの脆弱性について確認する図 13:SQL インジェクションの脆弱性確認 2 検査の結果 PreparedStatement ps = WebSession.getConnection(s).prepareStatement(query); の箇所にて検知されていたさらに実行されている SQL 文を作成している箇所を確認すると String query = "INSERT INTO employee VALUES ( " + nextid + ",?,?,?,?,?,?,?,?,?,?,?,?,?,?)"; となっておりプレースホルダの処理が含まれていることが分かるこの結果から外部からのパラメータにより SQL 文が書き換えられる可能性は低く正しく検知できていないものと考えられる c) クロスサイトスクリプティングの脆弱性確認 1( 正しく検知できたケース ) JSONInjection.java で検知されたクロスサイトスクリプティングの脆弱性について確認する 14

図 14: クロスサイトスクリプティングの脆弱性確認 1 検査の結果 out.print(jsonstr); の箇所にて検知されていた通常クロスサイトスクリプティングはエスケープ処理 4が施されていない場合に脆弱性となりうる出力されている文字列を確認すると以下のようになっておりエスケープ処理が施されていないことが分かる String linesep = System.

15 図 14: クロスサイトスクリプティングの脆弱性確認 1 検査の結果 out.print(jsonstr); の箇所にて検知されていた通常クロスサイトスクリプティングはエスケープ処理 4が施されていない場合に脆弱性となりうる出力されている文字列を確認すると以下のようになっておりエスケープ処理が施されていないことが分かる String linesep = System.getProperty("line.separator"); String jsonstr = "{" + linesep + " "From ": "Boston "," + linesep + " "To ": "Seattle ", " + linesep + " "flights ": [" + linesep + "{ "stops ": "0 ", "transit " : "N/A ", "price ": "$600 "}," + linesep + "{ "stops ": "2 ", "transit " : "Newark,Chicago ", "price ": "$300 "} " + linesep + "]" + linesep + "}"; つまり out.print(jsonstr); の処理は脆弱性を誘発する可能性が高いことになるそのため正しく検知できているものと考えられる 4 ウェブページの表示に影響のある特別な記号文字 (< > & 等 ) を影響を及ぼさない HTML エンティティ (< > & 等 ) に置換する手法 15

16 d) クロスサイトスクリプティングの脆弱性確認 2( 正しく検知できたケース ) LessonSouce.java で検知されたクロスサイトスクリプティングの脆弱性について確認する図 15: クロスサイトスクリプティングの脆弱性確認 2 検査の結果 out.print(s); の箇所にて検知されていた C) 同様出力されている文字列を確認すると protected void writesource(string s, HttpServletResponse response) throws IOException の関数の引数として入力されていた本関数だけでは脆弱性の有無は判断ができないが少なくとも関数内では出力されている文字列に対してエスケープ処理が施されていないことが分かるつまり out.print(s); の処理は脆弱性を誘発する可能性が高いことになるそのため正しく検知できているものと考えられる (3) 検査結果検査結果は以下の通りである表 3:LAPSE+ の検査結果 ( 今回のケース ) 脆弱性種別検知誤検知クロスサイトスクリプティング検知なし SQL インジェクション検知あり 16

(4) コメント検査したソースコードの有効行が約 28k ステップのソースであったが検査時間は数秒で完了し非常に処理が速い検査もボタン一つで実行できるため初心者でも使いやすいツールに思える今回評価したクロスサイトスクリプティング SQL インジェクションの脆弱性以外にもパストラバーサルやコマンドインジェクションなどの脆弱性も検知していた

17 (4) コメント検査したソースコードの有効行が約 28k ステップのソースであったが検査時間は数秒で完了し非常に処理が速い検査もボタン一つで実行できるため初心者でも使いやすいツールに思える今回評価したクロスサイトスクリプティング SQL インジェクションの脆弱性以外にもパストラバーサルやコマンドインジェクションなどの脆弱性も検知していたウェブアプリケーションの主要な脆弱性にも対応しており検査ツールとして非常に有効なツールと言える 2.2. RIPS (1) ツール概要 RIPS はソースコード入力型のツールでウェブサーバ上にツールのプログラムを展開することでウェブアプリケーションとして動作するウェブアプリケーションとして動作するため複数人が同時アクセスしても利用することができる検査できる脆弱性としてクロスサイトスクリプティングや SQL インジェクションなどウェブアプリケーションの主要な脆弱性やその他セキュリティ上危険なコード等がある (2) ツール利用手順 RIPS のインストールから脆弱性検査レポート出力までの一連の使用方法を以下に記す今回はクロスサイトスクリプティングと SQL インジェクションを検査対象とした環境準備 1 RIPS を動作させるために Apache および PHP をインストールする 2 以下の URL から RIPS をダウンロードし ZIP ファイルを Apache 配下の特定ディレクトリに展開する図 16: 展開した RIPS 17

18 3 Apache を起動しブラウザから2で展開した RIPS のトップページにアクセスする図 17: 検査画面 4 検査したいフォルダ名またはファイル名を指定する今回はソース全体を検査するため合わせて subdirs にチェックを入れ脆弱性については全対象 (All) としたなおレポートの詳細レベルはデフォルトの値を使用した図 18: 検査対象の設定 18

19 検査実行 5 scan ボタンを押下し脆弱性を検査する対象のファイル数が多い場合は以下の警告メッセージが表示されるが今回はそのまま実行した図 19: 検査実行時の警告図 20: 検査実行中結果確認 6 しばらく待つと検査結果が表示される図 21: 検査結果 7 統計情報を閉じると脆弱性の詳細を確認できるどこで脆弱性が実行されどのパラメータが脆弱性を引き起こす可能性があるのかを確認できるデータの流れ脆弱性の実行される可能性のある箇所脆弱性を引き起こす可能性があるパラメータを取り込んでいる箇所図 22: 検査結果詳細 19

脆弱性評価検知された脆弱性が誤検知である可能性もあるため検査結果を基に脆弱性の存在を確認してみる今回の検査結果では 4 件が脆弱性として発見された発見されたクロスサイトスクリプティングに対して確認誤検知の有無を確認するなお検査対象のソースに含まれている SQL インジェクションについては検知できなかった a) クロスサイトスクリプティングの脆弱性確認 1( 正しく検知できたケース

20 脆弱性評価検知された脆弱性が誤検知である可能性もあるため検査結果を基に脆弱性の存在を確認してみる今回の検査結果では 4 件が脆弱性として発見された発見されたクロスサイトスクリプティングに対して確認誤検知の有無を確認するなお検査対象のソースに含まれている SQL インジェクションについては検知できなかった a) クロスサイトスクリプティングの脆弱性確認 1( 正しく検知できたケース ) smarty_internal_templatebase.php で検知されたクロスサイトスクリプティングの脆弱性について確認するエスケープ処理なし図 23: クロスサイトスクリプティング検査結果確認 1 検査の結果 echo $_output; の箇所にて検知されていた出力されている文字列 ($_output) を確認するとエスケープ処理が施されていなかったつまり echo $_output の処理は脆弱性を誘発する可能性が高いことになるそのため正しく検知できているものと考えられるクロスサイトスクリプティングの脆弱性はもう 1 件検出されていたが本件とほぼ同じ内容であるため割愛する 20

21 (3) 検査結果検査結果は以下の通りであるクロスサイトスクリプティングについては 2 件検出したが全般的に検出できない箇所も多数存在したまた SQL インジェクションにおいては検知できなかった RIPS はパターンファイルを有しておりソースコード内にパターンにマッチングした場合にのみ脆弱性として検出するそのため検出できなかった脆弱性はこのパターンにマッチしなかったものと考えられる表 4:RIPS の検査結果 ( 今回のケース ) 脆弱性種別検知誤検知クロスサイトスクリプティング一部検知なし SQL インジェクション未検知 - (4) コメント良い点としてソースコード検査についてボタン一つで実行でき検査が容易であることが挙げられるまた入力値が与えられた箇所から脆弱性の可能性のある箇所までの一連のフローが分かるため修正箇所等の調査を行い易い今回確認した脆弱性以外にもコードインジェクション ( コードエグゼキューション ) の脆弱性も検知していた機能上コマンドインジェクション等にも対応しており主要な脆弱性にも対応している使いづらい点としては事前に Apache 等のウェブサーバや PHP の環境が必要となるためすぐに検査を始めたい場合には向かないように思える 21

22 3. 評価まとめ本章では 2 章で評価した結果を踏まえて 2 種のソースコード検査ツールの特徴について述べる下記の表は 2 種のツールを 4 つの項目で比較したものである表 5: 各ツールの特徴比較 ( 今回のケース ) ツール名対応言語検知精度操作性検査の効率性 LAPSE+ JAVA 使い易い RIPS PHP 環境構築が煩雑非常に良い良い一部難あり各ツールに一長一短があることがわかる対象言語や開発環境などを考慮し適切なツールの選定が必要である 3.1. LAPSE+ の特徴 (1) 検知精度 ~ 簡単に脆弱性検知が可能 ~ 今回クロスサイトスクリプティング SQL インジェクションの脆弱性について検知を試みた今回確認した限りでは一部誤検知があったがどちらの脆弱性についても検知されることを確認した (2) 操作性 ~インストールが簡易で初期設定が不要 GUI で簡単操作 ~ ツールを統合開発環境用のプラグインフォルダに保存後統合開発環境上で呼び出すだけで使用できる状態となる特に初期設定などの対応が不要で手軽に使用することができるまた GUI を通じて操作を行うため簡易に操作することが可能である (3) 検査の効率性 ~ボタン 1 つで脆弱性を検査使いやすいインターフェース~ LAPSE+ はボタン 1 つで対象ソースの検査を行い脆弱性をレポーティングしてくれる検査時間も早く発見した脆弱性のソースコードの箇所に移動し修正を行うことができる初級者にとって使い易いインタフェースとなっている 22

23 3.2. RIPS の特徴 (1) 検知精度 ~ 簡単に脆弱性検知が可能ただし未検知も多い~ 今回クロスサイトスクリプティング SQL インジェクションの脆弱性について検知を試み一部発見することができたが見逃しも多かった危険な関数等の特定のパターンに基づき脆弱性を検知していく都合上実装時に使用する関数によっては検知精度にぶれがある点に注意してほしい (2) 操作性 ~インストールが煩雑ウェブベースの GUI で簡易操作 ~ ツールを動作させるためには事前に Apache および PHP をインストール設定しておく必要があるため検査を実際に開始するまでにやや手間がかかるツール起動後はウェブベースの GUI を通じて操作を行うため簡易に操作することが可能である (3) 検査の効率性 ~ボタン 1 つで脆弱性を検査危険なコードを含むデータの追跡で修正が容易 ~ RIPS はボタン 1 つで対象ソースの検査を行い脆弱性をレポーティングしてくれる検査対象のソースコードによっては検査に数分かかるケースもある出力されたレポートには脆弱性の箇所に加えてどのようなフローで危険なコードを含む値が遷移してくるのかがわかるため誤検知の判定や修正等を行う際に容易であった GUI もウェブであり初級者にとって使い易いインタフェースとなっている 23

24 4. おわりに本書ではソースコード検査の概要およびオープンソースのソースコード検査ツールの評価を行いそれぞれの使い方と特徴を説明したソースコード検査ツールを利用することでセキュリティの向上や検査のコストの低減が図れ有効であることを示した対象とするウェブアプリケーションの言語や開発環境などを考慮のうえ適切なツールを選択することが必要となる開発工程にソースコード検査を導入実施する上で対象システムの位置づけや費用対効果の観点から以下の2つ : 無償で利用できるオープンソース商用ツールや有償サービスの選択肢があるのでその活用を検討して欲しい開発工程に本検査を導入することは製品の脆弱性対策のトータルコスト ( 公開後に発生した脆弱性対策含む ) を低減できるものと考えるまずオープンソースでその有効性を確認し有償ツールの活用も視野に開発工程に導入することを検討して頂きたいソースコード検査は非常に有効であるがオープンソースや商用のツールでも必ずしも網羅的に全ての脆弱性を検知できるわけではないウェブシステム開発者が脆弱性低減に抜本的に対応するためには脆弱性の具体的な知見を充分に深め脆弱性を極力埋め込まないセキュアなコーディングそして埋め込まれてしまった脆弱性を検知 ( ソースコード検査等 ) のトータルな対応が重要となる更にウェブシステムの運用時においては外部からの攻撃に対応するための備えや対応が必要となる IPA ではこれらに対応するためガイド 5 やツール 6 の公開やセミナーの開催などを行っている特にセミナーについては脆弱性の理解を深めるために AppGoat ハンズオンセミナー 7 を定期的に開催しておりウェブアプリケーションの脆弱性対策の基礎から学びたい方は機会があれば是非参加して欲しいまた教育機関での教材として AppGoat の活用をお薦めする最後に本書がウェブアプリケーションの開発における脆弱性対策に活用され情報サービスの根幹を担っているウェブシステムのセキュリティが向上されることを期待している 5 脆弱性対策 - 普及啓発資料 6 各ツールの紹介 - 安全なウェブサイト運営入門脆弱性対策 - ウェブサイト攻撃の検出ツール ilogscanner 7 情報セキュリティ対策脆弱性体験学習コース AppGoat ハンズオンセミナー 24

25 IPA テクニカルウォッチウェブサイトにおける脆弱性検査手法の紹介( ソースコード検査編 ) ~オープンソースのソースコード脆弱性検査ツールを用いた検査手法の紹介 ~ [ 発行 ] 2014 年 03 月 06 日 [ 著作制作 ] 独立行政法人情報処理推進機構技術本部セキュリティセンター [ 執筆者 ] 大森雅司亀山友彦関口竜也 25

5. オープンソースWAF「ModSecurity」導入事例～ IPA はこう考えた～

5. オープンソースWAF「ModSecurity」導入事例～ IPA はこう考えた～ 5. オープンソース WAF ModSecurity 導入事例 ~ IPA はこう考えた ~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンター情報セキュリティ技術ラボラトリー 2010 年 12 月 6 日公開 Copyright 2010 独立行政法人情報処理推進機構ウェブサイト運営者向けセキュリティ対策セミナー 1 目次 1. 背景目的 2. JVN ipedia へのWAF

目次 目次... 2 はじめに... 3 注意事項... 3 本書の対象読者 ソースコード検査の概要 ソースコード検査とは ソースコード検査のタイプと注意事項 オープンソースの脆弱性検査ツールの紹介 脆弱性検

目次目次... 2 はじめに... 3 注意事項... 3 本書の対象読者ソースコード検査の概要ソースコード検査とはソースコード検査のタイプと注意事項オープンソースの脆弱性検査ツールの紹介脆弱性検