QualysGuard リリースノート Web Application Scanning 3.1 2013 年 11 月 4 日 QualysGuard WAS 3.1 では 使いやすさの向上とレポート機能の拡張が行われました Web アプリケーション 認証レコード単独で管理するための機能 Web アプリケーションのサイトマップの確認 Web アプリケーションの検出結果および Burp の問題の検索ブラウザでのカタログエントリ (Web アプリケーション ) の表示 スキャン タグによるスキャンとスケジュールのフィルタ設定スキャン完了通知 E メールへのアプライアンス IP の追加 MDS 内でのマルウェアモニタリングの対象サイトのフィルタ設定アプライアンスリストの改善従来の XML 形式でのスキャン結果のダウンロード レポート スキャンレポートと Web アプリケーションレポートへの CVSS スコアの追加スキャンレポート (XML 形式および CSV 形式 ) での Web アプリケーションの詳細の表示 XML 形式の WAS レポート 検出内容の Base64 エンコード化 Web アプリケーション 認証レコード単独で管理するための機能 これまでのリリースと同様 認証機能を使用して Web アプリケーションのより詳細な評価を実行し 脆弱性を検出して検証することができます フォーム (Basic Selenium スクリプト ) やサーバ認証 (Basic Digest NTLM SSL) など さまざまな認証メソッドに対応しています 認証を使用するには 認証レコードを設定し 設定したレコードとスキャンする Web アプリケーションを関連付けて 使用する認証メソッドを指定します WAS 3.1 では 認証レコード専用の UI でレコードを管理できるようになりました これにより Web アプリケーションの設定とは別に認証レコードを管理できるほか 認証レコードを簡単に作成し 作成した 1 つの認証レコードを複数の Web アプリケーションに関連付けることができます 無断複写 転載を禁じます 2013 年クォリスジャパン株式会社 1
既存の認証レコードについて : 既存の認証レコードは 認証レコードのリストに自動で保存され Web アプリケーションのスキャン時には それらのレコードで定義されている認証メソッドが使用されます そのため 特別な作業は必要ありません 既存の認証レコードを確認するには Web Applications Authentication を選択します 新しい認証レコードの作成方法 Web Applications Authentication New Record を選択し ウィザードを使用して設定を入力します 各レコードに複数の認証メソッドを指定することができます それぞれの認証メソッドに対して複数のレコードを作成できます QualysGuard WAS リリースノート 2
Web アプリケーション設定への認証レコードの追加 認証レコードを追加する方法は 2 通りあります 1 つは Web アプリケーションを編集する方法です Web Applications を選択し 追加先の Web アプリケーションにマウスポインタを合わせ メニューから Edit を選択します Authentication 項で Web アプリケーションに追加する認証レコードを選択します もう 1 つの方法は Add to Web Applications オプションを使用する方法です Web Applications Authentication を選択します 追加するレコードを選択し Actions メニューから Add to Web Applications を選択します その後 レコードの追加先となる Web アプリケーションを選択します Tags オプション Web Applications オプション またはその両方のオプションを使用して選択できます QualysGuard WAS リリースノート 3
Web アプリケーションのサイトマップの確認 サイトマップには 使用している Web アプリケーションのセキュリティに関する最新の状況が表示されます ネストされているリンクをドリルダウンで表示し アプリケーションのそれぞれのサイトに関するセキュリティ状況が確認できます サイトマップを表示するには Web Applications Web Applications を選択し Web アプリケーションにマウスポインタを合わせ メニューから View Sitemap を選択します 次のサンプルは 合計で 271 ページが巡回され 306 件の脆弱性と 8 件の機密コンテンツが検出された Web アプリケーションのサイトマップの例です QualysGuard WAS リリースノート 4
サイトマップにフィルタを設定するには Page view filters にある Crawled ( 巡回されたページでフィルタを設定 ) や Vulnerabilities ( 最新の脆弱性でフィルタを設定 ) など 設定する項目をクリックします ネストされたリンクをドリルダウンで表示するには 親フォルダ をダブルクリックし 子リンクを表示します 他にも 対象の行にマウスポインタを合わせ メニューからアクションを選択して リンクから Web アプリケーションを新規で作成したり ブラックリストやホワイトリストにリンクを追加することができます 行を選択し 右のパネルにあるリンクをクリックすると ブラウザでリンクが表示されます サイトマップは スキャン結果から作成され 検出された脆弱性や機密コンテンツ内のすべての URL に加え 次の QID と関連のあるすべてのリンクが表示されます 巡回されたリンク 外部リンク 拒否されたリンク 150009 リンクのクロール完了 (Links Crawled) 150075 バイナリファイルタイプを返すリンク ( 廃止予定 )(Links that return binary file type (deprecated)) 150010 外部リンクの発見 (External links discovered) 150017 ドメイン関連リンクの発見 (Domain-related Links discovered) 150020 クロール範囲または除外リストによるリンクの拒絶 (Links Rejected By Crawl Scope or Exclusion List) 150041 リンクの拒絶 (Links Rejected) QualysGuard WAS リリースノート 5
Web アプリケーションの検出結果および Burp の問題の検索 Web アプリケーションに関連のある検出結果や Burp の問題を簡単に検索できるようになりました 選択したアプリケーションで実行できるアクションが新しく追加されました Web Applications を選択し Web アプリケーションにマウスポインタを合わせ Quick Actions メニューから Find Detections または Find Burp Issues を選択します 選択した Web アプリケーションの検出結果や問題がフィルタ設定された状態で表示されます 検出結果の検索 問題の検索 QualysGuard WAS リリースノート 6
ブラウザでのカタログエントリ (Web アプリケーション ) の表示 カタログエントリをブラウザで簡単に表示できるようになりました カタログエントリは マップやスキャンで検出された Web アプリケーションです Web Applications Catalog を選択し カタログエントリにマウスポインタを合わせ Quick Actions メニューから Open in Browser を選択します または プレビューパネルで Open in Browser ボタンをクリックします また プレビューパネルに Web アプリケーションの URL IP アドレス FQDN が表示されるようになりました QualysGuard WAS リリースノート 7
スキャン タグによるスキャンとスケジュールのフィルタ設定 タグを選択することで スキャンやスケジュールにフィルタを設定し Web アプリケーションごとに表示することができるようになりました Scans Scan List ( または Schedules ) を選択し リストに設定するフィルタとして使用するタグを選択します これにより 選択したタグに割り当てられている Web アプリケーションのスキャンまたはスケジュールのみがリストに表示されます スキャン完了通知 E メールへのアプライアンス IP の追加 スキャン完了通知の E メールが新しくなり スキャンに使用した Scanner Appliance の IP アドレスが表示されるようになりました QualysGuard WAS リリースノート 8
MDS 内でのマルウェアモニタリングの対象サイトのフィルタ設定 MDS アプリケーションのサイトリスト スキャンリスト スケジュールリストに Site Type フィルタが追加されました 各リストで WAS アプリケーションでマルウェアを監視しているサイトを表示したり マルウェアのみを監視しているサイト (WAS で Web アプリケーションのセキュリティ上のリスクは監視されていません ) を表示するように フィルタを簡単に設定できます アプライアンスリストの改善 Appliances 項に仮想アプライアンスに関する情報が表示されるようになりました Configuration Appliances を選択します リストに表示されるアイコンにより アプライアンスの現在の状況が確認できます 接続され スキャンの実行が可能です 接続が解除されているため スキャンは実行できません ビジーです ビジーではありません 物理アプライアンスです 仮想エンタープライズアプライアンスです アプライアンスソフトウェアを更新する必要があります アプライアンスソフトウェアは最新です QualysGuard WAS リリースノート 9
従来の XML 形式でのスキャン結果のダウンロード スキャンリストから 従来の XML 形式でスキャン結果をダウンロードすることができるようになりました 従来の XML 形式は WAS v1 で作成したスキャン結果 (webapp_scan.dtd) の形式です Scans Scan List を選択し スキャンの行にマウスポインタを合わせ Quick Actions メニューから Download を選択します 従来の XML を利用する必要がある場合は XML 形式でダウンロードすることが可能ですが 最新の WAS v3 のスキャン結果を使用することをお勧めします 詳細については WAS API User Guide v3 を参照してください QualysGuard WAS リリースノート 10
レポート スキャンレポートと Web アプリケーションレポートへの CVSS スコアの追加 スキャンレポートと Web アプリケーションレポートの脆弱性および機密コンテンツの詳細に CVSS の基本値と現状値が表示されるようになりました この情報は 検出結果リストから詳細を表示することでも確認できます スキャンレポート (XML 形式および CSV 形式 ) での Web アプリケーションの詳細の表示 ダウンロードした Web アプリケーションレポートの XML 出力と CSV 出力の Appendix 項に Web アプリケーションの設定が表示されるようになりました XML の例 : <APPENDIX> <SCAN_LIST> <SCAN> <NAME><![CDATA[Vulnerability Scan - 2013-Jul-24]]></NAME> <REFERENCE>was/1374730201067.1096086</REFERENCE> <START_DATE>2013-07-25T05:30:01Z</START_DATE> <END_DATE>2013-07-25T05:53:31Z</END_DATE> <MODE>Vulnerability</MODE> <TYPE>Scheduled</TYPE> <WEB_APPLICATION><![CDATA[Demo Web Application]]></WEB_APPLICATION> <AUTHENTICATION_RECORD><![CDATA[My Authentication Record (ID=3904,Demo Web Application)]]></AUTHENTICATION_RECORD> <PROFILE><![CDATA[Initial WAS Options]]></PROFILE> <SCANNER>External (IP: 10.10.21.134, Scanner: 7.1.12-1, WAS: 3.0.38-1, Signatures: 2.2.492-1)</SCANNER> <STATUS>Finished</STATUS> <AUTHENTICATION_STATUS>Successful</AUTHENTICATION_STATUS> </SCAN> </SCAN_LIST> <WEBAPP> <ID>872172</ID> <NAME><![CDATA[Demo Web Application]]></NAME> <URL><![CDATA[http://10.10.26.238]]></URL> <OWNER>Edgar Venables (regen_ev)</owner> <OPERATING_SYSTEM><![CDATA[Linux 2.4-2.6 / Embedded Device / F5 Networks Big-IP]]></OPERATING_SYSTEM> <SCOPE>Limit to URL hostname</scope> </WEBAPP> </APPENDIX> QualysGuard WAS リリースノート 11
XML 形式の WAS レポート 検出内容の Base64 エンコード化 XML 形式のすべての WAS レポートで 検出内容が Base64 でエンコードされるようになりました 検出内容には 脆弱性検出データ 収集情報 機密コンテンツがあります API または UI を使用して WAS アプリケーションで作成した XML 形式のデータを他のクライアントで利用している場合は WAS の検索内容のデータを適切に処理できるようにクライアントを更新してください Base64 でエンコードされる検出内容について スキャンおよび Web アプリケーションのすべての検索内容は XML 形式の場合 Base64 でエンコードされます エンコードされる検出内容には 次のものがあります 応答の実際の内容 応答で証拠が明確な場合は その証拠の内容 収集情報データ Base64 でエンコードされたデータは通常 属性が base64=true に設定されます 次に例を示します <FINDING> <PAYLOAD><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157105156Y1Z)%3C%2Fscript %3E]]></PAYLOAD> <RESULT base64="true"><![cdata[cl9mzwvkkcgkcgpbcii=]]></result> </FINDING> base64=true 属性が設定されていない場合 値はプレーンテキストになります 次に例を示します <FINDING> <PAYLOAD><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157105156Y1Z)%3C%2Fscript %3E]]></PAYLOAD> <RESULT><![CDATA[_feed(("]]></RESULT> </FINDING> 更新されたレポート WAS のレポート (WAS v3 スキャン結果 Web アプリケーションレポート Web アプリケーションスキャンレポート ) に表示される検出内容が Base64 でエンコードされるようになりました WAS v3 スキャン結果 脆弱性と機密コンテンツの検出内容 更新された要素 : WasScan/vulns/list/WasScanVuln/instances/list/WasScanVulnInstance/payloads/list/WasSca nvulnpayload/result WasScan/sensitiveContents/list/WasScanSensitiveContent/instances/list/WasScanSensitive ContentInstance/payloads/list/WasScanSensitiveContentPayload/result スキャン結果の XML 出力例 : <WasScanVuln> <qid>150001</qid> <title><![cdata[reflected Cross-Site Scripting (XSS) Vulnerabilities]]></title> QualysGuard WAS リリースノート 12
<uri><![cdata[http://myuri.apps.com/613460625329/feed.gtl?uid=%22'%3e%3cqss%20a%3dx157 105156Y1Z%3E]]></uri> <param>uid</param> <instances> <count>1</count> <list> <WasScanVulnInstance> <authenticated>false</authenticated> <payloads> <count>4</count> <list> <WasScanVulnPayload> <payload><![cdata[uid=%00%3cscript%3e_q%3drandom(x157105156y1z)%3c%2fscript%3e]]></pay load> <result base64="true"><![cdata[cl9mzwvkkcgkcgpbcii]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![cdata[uid=%22'%3e%3cqss%20a%3dx157105156y1z%3e]]></payload> <result base64="true"> <![CDATA[Cl9mZWVkKCgKCgpbCiIiJyZndDsmbHQ7cXNzIGE9WDE1NzEwNTE1NlkxWiZndDsiCgpdCgoKCikpC g]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![cdata[uid=%00%3cscript%3e_q%3drandom(x157201836y1z)%3c%2fscript%3e]]></pay load> <result base64="true"><![cdata[cl9mzwvkkcgkcgpbcii]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![cdata[uid=%22'%3e%3cqss%20a%3dx157201836y1z%3e]]></payload> <result base64="true"> <![CDATA[Cl9mZWVkKCgKCgpbCiIiJyZndDsmbHQ7cXNzIGE9WDE1NzIwMTgzNlkxWiZndDsiCgpdCgoKCikpC g]]></result> </WasScanVulnPayload> </list> </payloads> </WasScanVulnInstance> </list> </instances> </WasScanVuln> 収集情報の検出内容 更新された要素 : WasScan/igs/list/WasScanIg/data スキャン結果の XML 出力例 : <INFO> <QID>150044</QID> <TITLE><![CDATA[Login Form Is Not Submitted Via HTTPS]]></TITLE> <RESULT base64="true"><![cdata[rgvmyxvsdcbmb3jtigfjdglvbibkb2vzig5vdcbzdwjtaxqgdmlhifnttdogahr 0cDovL2dvb2ds ZS1ncnV5ZXJlLmFwcHNwb3QuY29tLzYxMzQ2MDYyNTMyOS9sb2dpbgo= ]]></RESULT> </INFO> QualysGuard WAS リリースノート 13
Web アプリケーションレポート 更新された要素 : WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PA YLOAD/RESPONSE/CONTENTS WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAY LOADS/PAYLOAD/RESPONSE/CONTENTS WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PA YLOAD/RESPONSE/EVIDENCE WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAY LOADS/PAYLOAD/RESPONSE/EVIDENCE WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/INFORMATION_GATHERED_LIST/INFORMATION_GATHER ED/DATA スキャンレポート 更新された要素 : WAS_SCAN_REPORT/RESULTS/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PAYLOAD/RESPONSE/CON TENTS WAS_SCAN_REPORT/RESULTS/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAYLOADS/PAYLOAD/RESP ONSE/CONTENTS WAS_SCAN_REPORT/RESULTS/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PAYLOAD/RESPONSE/EVI DENCE WAS_SCAN_REPORT/RESULTS/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAYLOADS/PAYLOAD/RESP ONSE/EVIDENCE WAS_SCAN_REPORT/RESULTS/INFORMATION_GATHERED_LIST/INFORMATION_GATHERED/DATA QualysGuard WAS リリースノート 14