QualysGuard リリースノート Web Application Scanning 3.0 2013 年 4 月 17 日 QualysGuard WAS 3.0 では 使いやすさの向上とレポート機能の拡張が行われました Web アプリケーションのマルウェア監視機能の紹介 Burp Suite との統合の紹介新しい脆弱性検出ブラウザ削除する Web アプリケーションに関するレポートの作成パージする Web アプリケーションに関するレポートの作成 Web アプリケーション URL のデータリストへの表示 Scanner Appliance 情報の改善 Web アプリケーションのマルウェア監視機能の紹介 WAS にマルウェア検出機能が統合されました これにより Web アプリケーションの脆弱性だけでなく 同じ Web プロパティに感染するマルウェアの検出も行うスキャンの実行が容易になりました Web アプリケーションスキャンにマルウェア検出を簡単に組み合わせることができるようになったため インターネットに接続する Web サイトが Web アプリケーションの脆弱性とマルウェアの影響を受けないようにすることができます Web サイトのマルウェアは 通常はインターネットに接続する Web アプリケーションにおいてのみ検出されます これらのスキャンタイプの詳細については Qualys コミュニティのこちらのブログ記事 ( 英語 ) を参照してください 通知について - マルウェアが検出されると アプリケーションの所有者は E メール通知を受け取ります この項で通知オプションの選択を解除することもできます 無断複写 転載を禁じます 2013 年クォリスジャパン株式会社 1
Web アプリケーションリストに新しく MDS Severity カラムが追加されました マルウェアのスキャンを行った Web アプリケーションについて 検出されたマルウェアの重大度がこのカラムに表示されます スキャンでマルウェアが検出されなかった場合は Safe アイコンが表示されます Web アプリケーションプレビューパネルには 検出されたマルウェアの数が表示されます QualysGuard WAS リリースノート 2
アカウントにある Web アプリケーションでマルウェアが検出されると WAS ダッシュボードに検出されたマルウェアの数が表示されます マルウェア監視機能が表示されない場合 - マルウェア監視機能は 完全なスコープを持ち かつ Manage Malware Monitoring パーミッションを付与されたユーザが使用できます アカウントマネージャまたはサポートまでお問い合わせください Burp Suite との統合の紹介 Burp Suite ツールキットとの統合が行われました これは 侵入テストツールとの一連の統合で最初に実現した機能です この侵入テストツールは アプリケーションの侵入と検証について より高度な手動によるテストを実行するために主に利用します 当社では 自動スキャンと侵入テストのそれぞれにメリットがあると認識しており この両方のアプローチの最も優れた部分を組み合わせようとしています この Burp Suite との統合により Burp Suite スキャナによる検出結果を WAS による検出結果と合わせて保存し 保存した情報を複数のユーザで共有できるようになります 今回の統合およびこれからの統合の詳細については Qualys コミュニティのこちらのブログ記事 ( 英語 ) を参照してください QualysGuard WAS リリースノート 3
Burp の検出結果のインポート Burp Reports を選択し Import をクリックして ローカルのファイルシステムから Burp レポートを選択します レポートは サイズが 20MB を超えない XML ファイルで 1 つの Web アプリケーションについてのみの検出結果を含んでいる必要があります レポート内で問題が関連付けられている Web アプリケーションを選択します ヒント : 複数の Burp インスタンスからインポートする際に 検出結果の重複を避けるには パージするためのオプションを使用することをお勧めします QualysGuard WAS リリースノート 4
Burp 検出結果の管理 インポートしたレポートを表示して 各種のアクションを実行するには Burp Reports を選択します Burp によりレポートされた問題を表示して 各種のアクションを実行するには Burp Issues を選択します Burp レポートに記載されている検出結果が表示されています 問題のステータスについて - Burp で検出した問題のシリアル番号が Web アプリケーションでインポートした既存の問題に対してチェックされます 以前にインポートしたことのない問題であった場合 ステータスは New に設定されます そうでない場合 ステータスは Active または Reopened ( 問題が以前にインポートされ 修正されたことがあった場合 ) に設定されます 使用している Burp のインスタンスが単一である場合のみ 正確なステータスが表示されます これは 問題のシリアル番号が Burp の各インスタンスに対して固有のものであるためです 問題の重大度について - 各問題に割り当てられた Burp の重大度 ( High Medium Low Info ) が表示されます False Positive ( 誤検出 ) は 重大度 Low に割り当てられます QualysGuard WAS リリースノート 5
Burp Issue Details を表示するには Quick Actions メニューで View を選択します Burp が表示されない場合 - Burp は 完全なスコープを持ち かつ WAS Burp パーミッションを付与されたユーザが使用できます アカウントマネージャまたはサポートまでお問い合わせください 新しい脆弱性検出ブラウザ 新しい脆弱性検出ブラウザは Web Applications Detections にあります この機能により レポートを実行することなく アカウントで検出された Web アプリケーションの脆弱性を簡単に確認できるようになりました 左側にある検索とフィルタのオプションを使用して 1 つまたは複数の検出結果に対するアクションを実行します QualysGuard WAS リリースノート 6
QualysGuard WAS リリースノート 7
削除する Web アプリケーションに関するレポートの作成 1 つまた複数の Web アプリケーションを削除するときに 削除する Web アプリケーションの Web アプリケーションセキュリティステータスレポートを生成することができます 生成されるレポートは自動的にレポートリストに保存され 期限切れになることはありません この機能を使用するには Create Report パーミッションが付与されている必要があります スケジュールで設定されていない Web アプリケーションの削除 Web アプリケーションセキュリティステータスレポートを作成するには Create Report ボタンをクリックします アプリケーションの削除後にレポートを作成することはできないため レポートは削除アクションを確認する前に作成する必要があります スケジュールで設定された Web アプリケーションの削除 スケジュールに Web アプリケーションが定義されている場合は Delete only web applications that are not scheduled for scans オプションを選択していない限り すべての Web アプリケーションが削除され スケジュールが無効になります QualysGuard WAS リリースノート 8
Web アプリケーションセキュリティステータスレポート Web アプリケーションセキュリティステータスレポートは レポートリストに表示され 期限切れにはなりません パージする Web アプリケーションに関するレポートの作成 1 つまた複数の Web アプリケーションをパージするときに パージする Web アプリケーションの Web アプリケーションセキュリティステータスレポートを生成することができます 生成されるレポートは自動的にレポートリストに保存され 期限切れになることはありません この機能を使用するには Create Report パーミッションが付与されている必要があります Web アプリケーション URL のデータリストへの表示 Web アプリケーションリスト スキャンリスト スケジュールリストの表示が改善されました これらのリストには 表示されている各 Web アプリケーションの URL が表示されます QualysGuard WAS リリースノート 9
Scanner Appliance 情報の改善 このリリースでは Web アプリケーションに割り当てられ スキャンやスケジュールで使用されている Scanner Appliance を簡単に検索できるようになりました QualysGuard WAS リリースノート 10
QualysGuard WAS リリースノート 11