ウェブ健康診断仕様_Internet公開用 - PDF 無料ダウンロード

ウェブ健康診断仕様について ( 平成 20 年度版一般公開用 ) ( 財 ) 地方自治情報センター自治体セキュリティ支援室

目次 1 はじめに... 3 1.1 本資料公開の経緯... 3 1.2 ウェブ健康診断とは... 4 2 ウェブ健康診断診断内容... 5 2.1 診断対象脆弱性 ( 診断項目 ) 及びその選定理由... 5 2.2 危険度基準... 5 2.3 総合判定基準... 6 2.4 診断時に利用する診断項目毎の検出パターン( 目安 ) 脆弱性有無の判定基準について... 7 2.5 診断対象画面 ( 機能 )とその定義について... 12 3 ウェブ健康診断検討委員会... 14 3.1 設置目的... 14 3.2 検討委員会の検討事項... 14 3.3 検討委員会委員一覧 ( 五十音順敬称略 )... 14 ( 別紙 ) ウェブ健康診断報告書フォーマット本診断での報告書フォーマット( 一部 )です A3 一枚表裏に診断結果が全て収まるようにしています - 2 -

1 はじめに 1.1 本資料公開の経緯本資料は地方自治情報センター( 以下当センターという )が平成 20 年度に実施したウェブ健康診 1 断事業 ( 地方公共団体の Web アプリケーションのセキュリティ状況を診断する事業以下本事業という )における診断仕様の一部をまとめたものです同診断仕様は有識者等によるウェブ健康診断検討委員会 ( 詳細は P.14 を参照 )において検討し定めたものですこの度本事業で実施した診断内容 ( 診断仕様 )を公開し地方公共団体の Web アプリケーションの開発運用検査及び利用に関わる全ての方々の参考資料として提供することにいたしました本仕様はより多くの地方公共団体に診断事業を受けていただき Web アプリケーションの脆弱性を身近な問題として知っていただくことに主眼を置いているため診断内容が一般に診断サービスとして提供されているものよりも簡素になっていますそのため本事業の診断を受けた結果が良好だっただけでは安全であるとの判断はできません診断を受けた地方公共団体には本事業は現状認識の第一歩きっかけの一つとしてご活用いただくことを想定していますまた本事業で脆弱性が発見されるようであれば別途より詳細な診断を実施いただくことをお勧めいたします [ 地方公共団体担当者の方へ ] 本資料は一般公開用のものであり下記内容について入手したい場合は下記 LGWAN サイトから取得してください(Internet では非公開です) 本仕様の作成経緯及び詳細な検討内容 ( 診断しないと決めた診断項目及びその理由等 ) 平成 20 年度同事業における1 団体あたりの診断単価 Web アプリケーションの脆弱性の理解を深めるための参考資料 ( 診断仕様中に取り上げている 12 種類の脆弱性に関する解説対策脆弱性の再現方法 ) 診断仕様 ( 詳細 ) 資料公開 (LGWAN 接続環境が必要です) http://lascww01.lg-lib.asp.lgwan.jp/cb/bbs/cbservlet?frid=edisp&ci=203&ei=840&o=s&r=y&p=1&t=o なお診断実施団体全体の結果統計データ等につきましては下記 LGWAN サイトにおいて公開予定です (Internet では非公開です) 地方自治情報センター自治体セキュリティ支援室ポータルサイト(LGWAN 接続環境が必要です) http://lascww01.lg-lib.asp.lgwan.jp 1 本事業は当センターが実施しているセキュリティ支援事業ですウェブ健康診断という名称は多くの地方公共団体に気軽に診断して現状を把握して頂きたいという考えから付けている Web アプリケーション脆弱性診断事業の事業名称です( 平成 20 年度から同名称を利用 ) - 3 -

1.2 ウェブ健康診断とはウェブ健康診断とは人間に例えるならその名のとおり健康診断にあたるような位置づけの診断です人間ドックに比べたら精密ではありませんが平成 19 年度に実施した Web アプリケーション脆弱性診断結果等も考慮しながら重要な診断項目を検討しました本診断は基本的な対策が出来ているかどうかを診断するものとご理解くださいまた診断対象の Web アプリケーションの全てのページを診断するものではなく診断対象の規模にもよりますが基本は抜き取り調査 ( 診断 )です 1~3までを当センターの支援事業として実施診断方式 : 遠隔地からインターネット経由による手動若しくは自動診断ツールを利用診断実施数 : 約 300 団体診断対象 : 地方公共団体が保有若しくは利用している現在インターネットで稼動中の Web サーバ1サイト分 (1 ドメインネーム) ページ数規模は動的ページ 5~10 最大で 20 画面 ( 機能 ) 程度まで診断対象サイトのサブドメイン別ドメインは原則として対象外診断対象例 - 電子申請電子入札 - 図書館蔵書検索貸し出し予約 - 公共施設等の設備予約 - 自治体ホームページ全体や議事録の検索 - 資料請求問い合わせイベントメールマガジン等の申込みフォーム - 地域 SNS 掲示板 - GIS 等 - 4 -

2 ウェブ健康診断診断内容 2.1 診断対象脆弱性 ( 診断項目 ) 及びその選定理由診断対象脆弱性 ( 診断項目 )は以下のとおりですなお以降のページ及び別紙で診断項目を示す場合は記号 (A)~(L)を付与しています記号診断項目 ( 脆弱性名 ) 危険度能動的攻撃 / 受動的攻撃情報漏洩想定被害改ざん妨害 (A) SQL インジェクション高能動的 (B) クロスサイトスクリプティング(XSS) 中受動的 (C) クロスサイトリクエストフォージェリ(CSRF) 中受動的 (D) OS コマンドインジェクション高能動的 (E) ディレクトリリスティング低 ~ 高能動的 (F) メールヘッダインジェクション中能動的 (G) パストラバーサル高能動的 (H) 意図しないリダイレクト中受動的 (I) HTTP ヘッダインジェクション中受動的 (J) 認証低 ~ 中能動的 (K) セッション管理の不備低 ~ 高能動的 / 受動的 (L) アクセス制御の不備欠落高能動的上記診断対象脆弱性の選定における根拠 ( 概要 )は以下のとおりです危険性の高い脆弱性 ( 直接的な被害を被る可能性が高いもの) 平成 19 年度 Web アプリケーション脆弱性診断事業 (LASDEC 実施 )で検出数の多かったもの IPA 安全なウェブサイトの作り方 2 に取り上げられているもの( 届出の多いもの) 最近問題となるケースの多いもの(SQL インジェクション XSS CSRF) 2.2 危険度基準各脆弱性に付与している危険度のレベルは以下の基準に則って提示しました危険度高被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性攻撃を受けると大量の情報漏洩や改ざんの被害を生じる可能性がある危険度中攻撃成功には被害者ユーザの関与 ( 攻撃者の罠のリンクをクリックする等 )が必要である受動的な脆弱性もしくは能動的な脆弱性であっても大量の情報漏洩や改竄にはつながりにくいもの危険度低攻撃成功の確率が低いもしくは攻撃が成功しても被害が軽微であると考えられる脆弱性ただし被害に遭う可能性はゼロではない 2 http://www.ipa.go.jp/security/vuln/websecurity.html - 5 -

2.3 総合判定基準脆弱性が発見された場合地方公共団体へ提示する報告書では総合判定所見として要治療精密検査差し支えない異常は発見されなかったのいづれかを記載します同所見は以下の基準に則って記載しました要治療精密検査説明危険度が高または中の明らかに危険な脆弱性が検出された Web アプリケーションの改修等の措置を講じる必要があるまた指摘箇所以外にも危険な脆弱性が発見される可能性が高い基準脆弱性 (A)~(L)の 12 項目のうち 1 つでも脆弱性が発見された場合ただし差し支えないの判定基準にある脆弱性以外のもの( 危険性が高い脆弱性 ) 差し支えない説明今回の診断では危険度が低の脆弱性のみが検出された現状すぐに実被害に及ぶ可能性は低く運用上は差し支えないと判断されるが本件は注意が必要であり放置しない方がよい基準下記の3つの脆弱性のみが検出された場合 (E) ディレクトリリスティング但し重要な情報 ( 個人情報の記載されたファイル等 )が検出された場合は既に危険な状態ということから要治療精密検査とする (J) 認証但し以下だった場合は危険度が高いため要治療精密検査とする (1)パスワードが 8 文字以内かつ英数字のみの場合 (2)ログイン機能に対するログアウト機能がないもしくはログアウト機能は存在するが適切な処理を行っていない場合 " (K) セッション管理の不備但し以下だった場合は危険度が高いため要治療精密検査とする (1)セッション管理機能が自作 (ミドルウェア等で提供されていない独自 )で問題があると判断される場合 (2)Cookie が有効であるにも関わらずセッション ID が URL に埋め込まれリファラから漏れる場合 ( 携帯サイトを除く) 異常は発見されなかった説明今回の診断では脆弱性は発見されなかった但し診断していない項目もあり診断方法も限定しているので安全であることと同義ではない基準診断結果がすべて正常あるいは該当なしの場合 - 6 -

2.4 診断時に利用する診断項目毎の検出パターン( 目安 ) 脆弱性有無の判定基準について各診断項目における検出パターン及び脆弱性有無の判定基準は以下のとおりなお厳密な意味で言えば本基準で判定される挙動は当該脆弱性がある可能性が高いということになる( 必ず当該脆弱性があることを 100% 保障はしない) (A) SQL インジェクション 1 ' (シングルクォート)1 個エラーになるレスポンスに DBMS 等が出力するエラーメッセージ( 例 :SQLException Query failed 等 )が表示された場合にエラーが発生したと判定します 2 検索キーと検索キー'and'a'='a の比較検索キーのみと同じ結果になる HTTP ステータスコードが一致しかつレスポンスの diff( 差分 )が全体の 6% 未満の場合同一の結果と判定します検査対象が検索機能の場合は検索結果件数が同一の場合にも同一の結果と判定します同上 3 検索キー( 数値 ) と検索キー and 1=1 の比較検索キーのみと同じ結果になる (B) クロスサイトスクリプティング(XSS) 1 '>"><hr> エスケープ等されずに出力されるレスポンスボディーに検査文字列の文字列がエスケープ等されずに出力されると脆弱と判定します 2 '>"><script>alert(document.cookie)</script> エスケープ等されずに出力される同上 3 URL 中のファイル名として <script>alert(document.cookie)</script> エスケープ等されずに出力される 4 javascript:alert(document.cookie); href 属性等に出力される同上 http://www.xxxx.jp/service/index.html という URL であった場合 index.html の部分に検査文字列をエンコードせずに挿入しますレスポンスボディーの特定の URI 属性 (src, action, background, href, content)や JavaScript コード(location.href, location.replace) 等に検査文字列が出力される場合脆弱と判定します - 7 -

(C) クロスサイトリクエストフォージェリ(CSRF) 特定副作用を持つ機能において以下のいずれかを満たす場合に脆弱と判定しますトークン等のパラメータが存在しない 1 ログイン状態において特定副作用を持つ画面に対トークン等を削除しても特定副作用が実行される特定副作用が実行されるして外部からパラメータを強制するトークン文字列の推測が可能別ユーザのトークンが使用できる特定副作用が実行されたかは画面に表示されるメッセージ等により判断します (D) OS コマンドインジェクション 1../../../../../../../sbin/ifconfig を入力 ifconfig の実行結果が表示されるレスポンスに 127.0.0.1 等の文字列が含まれる場合 ifconfig が実行されたと判定します 2 ;/sbin/ifconfig を入力 ifconfig の実行結果が表示される同上 3../../../../../../../windows/system32/ipconfig を入力 ipconfig の実行結果が表示される 4 &/windows/system32/ipconfig を入力 ipconfig の実行結果が表示されるレスポンスに Ethernet, adapter 等の文字列が含まれる場合 ipconfig が実行されたと判定します同上 (E) ディレクトリリスティング 1 URL をディレクトリまでで終端しリクエストする URL の末尾のファイル名部分を削除してリクエストを送りファイル一覧ディレクトリ一覧が表示されるファイがレスポンスされるか確認します icons 等明らかに無害なものは報告しル一覧の表示のみでは低危険ません抜き取りにて一覧ファイル内のバックアップファイル等を探して度重要情報があれば高危険度発見されたものを報告します - 8 -

(F) メールヘッダインジェクション Subject From To 欄に %0d%0aTo:SecXXX@xxxx.jp 改行文字の後に追加した To アドレス(@xxxx.jp のアドレス)にメールが届 1 (XXX は数値 2~3 桁 )を入力することで新たなあて新たなあて先を指定できるく場合に新たなあて先を指定できたと判定します先を指定できるか 2 Subject From To 欄に %0d%0a%0d%0akensa を入力 @xxxx.jp のアドレスに届いたメールの本文部分に kensa という文字列が本文内容を改ざんできるすることで本文内容を改ざんできるか含まれている場合本文内容を改ざんできたと判定します (G) パストラバーサル 1 UNIX 系 OS 向けレスポンスに 127.0.0.1 localhost 等の文字列が含まれる場合 /etc/hosts が表示される../../../../../../../../../etc/hosts /etc/hosts が表示されたと判定します 2 UNIX 系 OS 向け同上 /etc/hosts が表示される../../../../../../../../../etc/hosts%00 3 Windows 向けレスポンスに[extensions] 等の文字列が含まれる場合 win.ini が表示され win.ini が表示される../../../../../../../../../windows/win.ini たと判定します 4 Windows 向け同上 win.ini が表示される../../../../../../../../../windows/win.ini%00 (H) 意図しないリダイレクト 1 Location ヘッダ META タグの Refresh JavaScript コード(location.href, クエリストリング等に URL を保持している場合に指定した別ドメインの URL に遷移さ location.assign, location.replace)によるリダイレクト部分に検査文字列が URL を別ドメインのもの(http://www.xxxx.jp/)に変更せられる出力される場合にリダイレクト可能と判定しますログイン機能以外でもしてリクエストする脆弱性として判定します - 9 -

(I) HTTP ヘッダインジェクションレスポンスヘッダに xxxxtest=xxxxtest という Set-Cookie ヘッダが存在 Cookie に相当するパラメータに改行コードを入力 Set-Cookie のパラメータに改行が挿 1 する場合改行が挿入されたと判定します元の値 %0d%0aSet-Cookie:xxxtest%3Dxxxxtest%3B 入される 2 リダイレクト先 URL に相当するパラメータに改行コードを入力元の値 %0d%0aSet-Cookie:xxxxtest%3Dxxxxtest%3B Location ヘッダのパラメータに改行が挿入される同上 (J) 認証 1 パスワードの max 文字数が 8 文字以上確保されてい - 8 文字未満の場合は指摘るか 2 パスワードの文字種が数字のみ英字のみに限定さ - 数字のみ英字のみの場合は指摘れていないか 3 パスワードが入力時に伏字になっているか伏字になっていない場合は指摘 - 4 パスワード間違いの際のメッセージは適切かユーザ ID とパスワードのどちらが間違いか分かるようなメッセージの場合指摘ログアウト機能がないあるいはログ 5 ログアウト機能はあるか適切に実装されているかアウト後戻るボタンでセッションを再開できる場合は指摘 6 意図的に 10 回パスワードを間違えるアカウントロックされない場合は指摘 - - - - 10 -

(K) セッション管理の不備 1 ログインの前後でセッション ID が変化するかセッション ID が変わらない場合は指摘 - 2 言語ミドルウェアの備えるセッション管理機構を使セッション ID のパラメータ名等で言語ミドルウェアのセッション管理機手作りのセッション管理機構を使用用せず手作りのセッション管理機構を使っていない構を使用しているかを判断します判断がつかない場合には " 手作りのしている場合は指摘か疑いあり"として報告します 3 SSL を使用するサイトの場合セッション ID を保持す Cookie のセキュア属性が付与されて - る Cookie にセキュア属性が付与されているかいない場合は指摘 4 Cookie をオフにしてアクセスした場合セッション ID セッション ID が URL 埋め込みの場合リファラから漏洩するおそれがある場合にのみ脆弱と判定します (5 をが URL 埋め込みにならないかは指摘参照 ) 5 PC/ 携帯サイト両方が対象外部へのリンク( 検査対象とは異なるホスト携帯電話向けサイト等でセッション ID を URL 埋め込 Referer からセッション ID が漏洩する上のページへのリンク)が存在する場合にのみ脆弱と判定しますセッシみにしている場合外部リンクから Referer 経由でセ場合は指摘ョン ID の漏洩が問題とならない場合 ( 認証等の機能が無いケースやワッション ID が漏洩しないかンタイムなセッション ID を使用しているケース)は報告から除外します (L) アクセス制御の不備欠落貸与アカウントでは実行権限が無いと推測されるページ( 管理者機能等 ) 1 URL 操作により現在のユーザでは実行権限のないの URL が特定できる場合に検査を実施します権限が無いと推測され実行可能の場合は指摘機能が実行可能るページ( 管理者向けメニュー等 )が表示された時点で脆弱性として判定します 2 文書 ID 注文番号顧客番号等がパラメータにより指閲覧権限がない情報の ID 類が特定できる場合に検査を実施します特 ID 類の変更により閲覧権限のない定されている場合その ID 類を変更して元々権限定できない場合は ID 類の末尾数値を操作する等の方法で参照権限情報が表示された場合は指摘のない情報を閲覧できるかがないと推測される情報が表示されたら脆弱と判定します hidden, Cookie に現在権限が指定されておりその変 admin 等権限クラスを示すと推測されるパラメータが存在する場合に 3 更により現在のユーザでは実行権限のない機能が実行可能の場合は指摘検査を実施します実行可能 - 11 -

2.5 診断対象画面 ( 機能 )とその定義について診断を実施するにあたっては全ての画面 ( 機能 )を調査するのは困難なため本事業では診断対象のページ数に上限を設けており診断対象となる画面 ( 機能 )の選定に関して以下のような定義を設けていますまた各画面 ( 機能 )で最低限実施する診断項目を規定しましたなお平成 20 年度事業ではここに定めた最低限実施する範囲よりも若干広く診断をしました診断対象画面 ( 機能 ) 名称ログインログアウト DB アクセス入力内容確認エラーファイル名 Cookie リダイレクト診断対象画面 ( 機能 )の定義ユーザ ID とパスワードを入力する等して認証を行う画面パスワードの代わりに暗証番号等の表記になっている場合もある認証機能のある Web サイトの場合はかならずどこかにログイン画面がある(はず) 認証状態を廃棄するための機能認証機能があればログイン機能は必ずあるがログアウト機能を有しているとは限らないログアウトボタン等が見当たらない場合はよく探すかサイト管理者に問い合わせる等で調べる検索機能やデータ登録参照機能等 SQL を利用していると想定される画面のこと実際に SQL を使っているか他の手段 (ファイルオブジェクト DB 等 )を利用しているかは分からないので通常 SQL を利用していると想定されるものを列挙すればよいユーザが入力した値を次の画面で表示し確認できるようになっている画面一般的にデータ入力の画面は入力確認登録の 3 画面構成になっていることが多くその場合の 2 番目の画面を指す Web サイトによっては入力登録という構成の場合もある(この場合は確認画面がない) のでその場合は別の画面を探すエラー表示に特化した画面のこと意図的にエラーを発生させることによりエラーに特化した画面が現れるかどうかを確認することそのようなエラー専用画面がない場合もあるファイル名と想定されるパラメータを引き回している画面のこと xxxxx.txt 等拡張子が値に付与されている場合やパラメータ名が xxxxfile filexxxx 等のネーミングになっていることにより見分ける Cookie 設定を行っている画面レスポンスヘッダを調べて Set-Cookie:が発行されている画面を探すミドルウェアの発行するセッション ID 以外の Cookie を優先して探す Location ヘッダや <meta http-equiv="refresh"... により他画面に遷移している画面 - 12 - 最低限実施する診断項目 (H) 意図しないリタイレクト (J) 認証 (K) セッション管理不備 (K) セッション管理不備 (A) SQL インシェクション (B) クロスサイトスクリフティンク (B) クロスサイトスクリフティンク (D) OS コマントインシェクション (G) ハストラハーサル (I) HTTP ヘッタインシェクション (I) HTTP ヘッタインシェクション

診断対象画面 ( 機能 ) 名称診断対象画面 ( 機能 )の定義最低限実施する診断項目パスワード変更 DB 更新メール送信アクセス制御有文字通りユーザが自分のパスワードを変更する画面のことデータの新規登録や変更によりデータベースに更新処理を行っていると想定される画面を探す実際に DB 更新を行っているかどうかは外部からは判別できないので DB 更新と想定される画面を探せばよい重要な処理 (パスワード変更申し込み処理等 )の際に確認メールが送信される場合があるそのようにアプリケーションがメールを送信している画面を探す情報アクセスのための認可システムが実装されている箇所を指す (C) クロスサイトリクエストフォーシェリ (C) クロスサイトリクエストフォーシェリ (F) メールヘッタインシェクション (D) OS コマントインシェクション (C) クロスサイトリクエストフォーシェリ ( 注 1) (L) アクセス制御不備注 1 メール送信機能における (C) クロスサイトリクエストフォーシェリの検査についてはログイン後の状態でメール送信機能が利用可能な場合に限る注 2 (E) ティレクトリリスティンクに関しては特に調査対象の基準を設けていない必要に応じて診断する注 3 (G) ハストラハーサルに関してはファイルアクセスが想定される画面ファイル名を想起させるパラメータタがあった場合に診断する - 13 -

3 ウェブ健康診断検討委員会 3.1 設置目的ウェブ健康診断事業を適切かつ効果的に実施するため有識者によるウェブ健康診断検討委員会 ( 以下検討委員会という )を設置した 3.2 検討委員会の検討事項検討委員会では主に次に掲げる事項の検討を行った診断方法診断範囲具体的な診断項目及びその検査パターン診断事業者の選定基準及び選定審査方法地方公共団体へ個別に提示する診断結果レポート内容検出された脆弱性の IPA への届け出について 3.3 検討委員会委員一覧 ( 五十音順敬称略 ) 飯島輝泰埼玉県毛呂山町情報推進室係長加賀谷伸一郎独立行政法人情報処理推進機構セキュリティセンターウイルス不正アクセス対策クルーフ主幹木村修二財団法人関西情報産業活性化センター情報化推進グループ部長久保正樹有限責任中間法人 JPCERT コーティネーションセンター情報流通対策グループ分析官芝原努財団法人関西情報産業活性化センター情報化推進グループ係長高木浩光独立行政法人産業技術総合研究所情報セキュリティ研究センター主任研究員高倉弘喜京都大学学術情報メディアセンターネットワーク研究部門准教授竹内美知千葉県市川市情報システム部地域情報推進担当森岡寛志総務省自治行政局地域情報政策室電子自治体推進係長渡辺貴仁独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ技術ラホラトリー研究員 - 14 -

ウェブ健康診断仕様について ( 平成 20 年度版一般公開用 ) 2009 年 4 月 6 日公開 [ 技術アドバイザー委員会オブザーバ] HASHコンサルティング株式会社徳丸浩氏 [ 執筆協力者 ( 平成 20 年度ウェブ健康診断実施事業者 )] 三井物産セキュアディレクション株式会社技術部セキュリティアセスメントグループ国分裕氏佐々木博氏 [ 編集事務局 ] 財団法人地方自治情報センター自治体セキュリティ支援室 ( 担当 : 百瀬 ) 102-8419 東京都千代田区一番町 25 番地 ( 全国町村議員会館内 ) - 15 -