分 野 大 分 類 中 分 類 小 分 類 Silver Gold 備 考 基 礎 知 識 ( 技 術 ) 標 準 的 なプロトコルと 技 術 プロトコル IP TCP UDP DNS SSL/TLS Web Socket IPv6 名 前 解 決 トップレベルドメイン(TLD) ICANN DNS /etc/hosts レジストラ 文 字 コード メール SMTP セキュリティ 技 術 暗 号 共 通 鍵 暗 号 公 開 鍵 暗 号 暗 号 学 的 ハッシュ PKI 認 証 局 証 明 書 認 証 ネットワーク ファイアウォール IDS/IPS WAF 認 証 パスワード 認 証 2 要 素 認 証 シングルサインオン CAPTCHA ワンタイムトークン 情 報 セキュリティの 三 要 素 機 密 性 完 全 性 可 用 性 WWW URL/URI スキーム 名 ホスト 名 ポート 番 号 クエリストリング フラグメント HTTP リクエスト/レスポンス メソッド ステータスコード HTTPヘッダ Cookie セッション 管 理 Webプロキシ HTTPSのプロキシの 方 法 MITM Referer 1 ページ
基 礎 知 識 ( 脆 弱 性 ) その 他 Webアプリケーションの 脆 弱 性 プロキシ ブラウザ エンコード 言 語 データ 形 式 その 他 HTTPDの 製 品 名 DBの 製 品 名 アプリケーションサーバの 製 品 名 ライブラリの 製 品 名 インジェクション HTTP 認 証 BASIC 認 証 Digest 認 証 ネゴシエートなど リダイレクト HTTPS フォワードプロキシ リバースプロキシ キャッシュ オートコンプリート ブラウザごとの 挙 動 の 差 レンダリング ステータスバー アドレスバー Ajax/XHR XSSフィルタ Same Origin Policy Content Sniffing Content Security Policy Cross-Origin Resource Sharing URLエンコード Base64 HTML HTML5 JavaScript CSS SQL DOM XPATH LDAP OSコマンド プログラミング 言 語 主 にWebアプリケーションを 記 述 するために 用 いるもの XML JSON JSONP ロードバランサー NAT/NAPT robots.txt ミドルウェア フレームワーク CGI サーブレット SQLインジェクション CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') コマンドインジェクション OSコマンドインジェクション CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') LDAPインジェクション CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') 2 ページ
XPathインジェクション CWE-643: Improper Neutralization of Data within XPath Expressions ('XPath Injection') XMLインジェクション CWE-91: XML Injection (aka Blind XPath Injection) evalインジェクション CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') SSIインジェクション CWE-97: Improper Neutralization of Server-Side Includes (SSI) Within a Web Page ORMインジェクション CWE-943: Improper Neutralization of Special Elements in Data Query Logic NoSQLインジェクション CWE-943: Improper Neutralization of Special Elements in Data Query Logic CRLFインジェクション HTTPヘッダインジェクション メールヘッダインジェクション HTTPレスポンス 分 割 CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') クロスサイトスクリプティング(XSS) https://www.owasp.org/index.php/types_of_cross-site_scripting DOM based XSS Server XSS Client XSS フォーマットストリングバグ フォーマットストリング 攻 撃 CWE-134: Uncontrolled Format String 相 対 パストラバーサル ディレクトリトラバーサル CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')?file=../../../etc/passwd CWE-23: Relative Path Traversal 絶 対 パストラバーサル?file=/etc/passwd CWE-36: Absolute Path Traversa オープンリダイレクト オープンリダイレクト オープンリダイレクター ファイルアップロードに 係 る サーバー 側 で 実 行 されるファイルのアップロード 脆 弱 性 クライアント 側 で 実 行 されるファイルのアップ ロード 許 可 されていないファイルのアップロード CWE-601: URL Redirection to Untrusted Site ('Open Redirect') インクルードにまつわる 脆 弱 リモートファイルインクルージョン(RFI) CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File 性 Inclusion') サービス 不 能 攻 撃 (DoS)につ バッファーオーバーフロー CWE-788: Access of Memory Location After End of Buffer ながりうる 問 題 レースコンディション クリックジャッキング 認 証 認 可 制 御 の 不 備 欠 落 セッション 管 理 の 不 備 CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') Clickjacking/Clickjack/UI Redress/UI Redressing 認 証 回 避 CWE-592: Authentication Bypass Issues ログアウト 機 能 の 不 備 や 未 実 装 過 度 な 認 証 試 行 に 対 する 対 策 不 備 欠 落 アカウントロック パスワードポリシーと 実 装 の 乖 離 CWE-307: Improper Restriction of Excessive Authentication Attempts 脆 弱 なパスワードポリシー CWE-521: Weak Password Requirements 復 元 可 能 なパスワード 保 存 CWE-257: Storing Passwords in a Recoverable Format パスワードリマインダの 不 備 推 測 可 能 なCAPTCHA CWE-804: Guessable CAPTCHA 権 限 の 不 正 な 昇 格 パラメータ 操 作 による 不 正 な 機 能 の 利 用 セッションフィクセイション セッションフィクセーション セッション 固 定 攻 撃 CWE-384: Session Fixation クロスサイトリクエストフォージェリ(CSRF) CWE-352: Cross-Site Request Forgery (CSRF) CookieのHttpOnly 属 性 未 設 定 3 ページ
Webアプリケーションの 動 作 環 境 への 診 断 項 目 基 礎 知 識 ( 診 断 業 務 ) 診 断 前 準 備 診 断 実 査 診 断 実 施 後 アフターサポート 情 報 漏 洩 ビジネスロジックの 問 題 推 測 可 能 なセッションID ( 長 さ 乱 数 の 強 度 ) CWE-334: Small Space of Random Values クエリストリング 情 報 の 漏 洩 URLパラメータ CWE-598: Information Exposure Through Query Strings in GET Request ブラウザキャッシュからの 情 報 漏 洩 CWE-525: Information Exposure Through Browser Caching パスワードフィールドのマスク 不 備 CWE-549: Missing Password Field Masking エラーメッセージによる 情 報 露 出 CWE-209: Information Exposure Through an Error Message 機 微 情 報 の 表 示 確 認 画 面 でクレジットカード 番 号 などのマスク HTTPS 利 用 時 のsecure 属 性 がない 機 微 Cookie CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute 機 微 情 報 のCookieへの 平 文 保 存 CWE-315: Cleartext Storage of Sensitive Information in a Cookie HTTPSの 不 適 切 な 利 用 不 要 な 情 報 の 存 在 サーバソフトウェアの 設 定 の ディレクトリリスティング 不 備 不 要 なファイルの 存 在 確 認 デフォルトエラー 画 面 バージョン 番 号 表 示 不 要 なHTTPメソッド バックアップファイルの 存 在 サンプルファイルの 存 在 管 理 者 ページの 存 在 デバッグオプションが 有 効 OS/フレームワーク/サーバソフトウェア/プログラミングライブラリの 既 知 の 脆 診 断 対 象 の 確 認 見 積 もり 方 法 顧 客 との 事 前 打 ち 合 わせ 実 査 準 備 ログ 取 得 自 動 診 断 ツールを 用 いた 診 断 プロキシツールを 用 いた 手 動 診 断 報 告 書 作 成 テストケースの 作 成 診 断 対 象 の 優 先 順 位 付 け 診 断 対 象 の 選 定 画 面 カウント 制 アクションカウント 制 リクエストカウント 制 その 他 の 見 積 もり 方 法 について 実 施 内 容 説 明 ヒアリング 環 境 データ 準 備 依 頼 テストアカウント( 権 限 画 面 遷 移 に 必 要 なアカウントが 複 数 必 要 ) 作 業 環 境 の 準 備 依 頼 診 断 環 境 による 差 違 禁 止 事 項 免 責 事 項 作 業 環 境 の 準 備 必 要 機 材 診 断 ツールの 準 備 クライアントの 準 備 セキュリティツールの 影 響 強 制 ログアウトロックアウト 処 理 物 理 デバイス 証 明 書 の 必 要 性 画 面 認 証 の 有 無 等 の 確 認 と 遷 移 先 の 確 認 特 定 のパラメータ 等 の 付 加 の 確 認 4 ページ
診 断 技 術 ( 自 動 診 断 ツール) HTMLやCookieなどのセキュリティ 設 定 不 備 ディレクトリやファイルの 発 見 フレームワーク/サーバソフトウェアの 既 知 の 脆 弱 性 など 手 動 診 断 が 必 要 な 理 由 セッション 管 理 の 不 備 認 可 制 御 の 不 備 欠 落 意 図 しない 仕 様 外 の 挙 動 権 限 越 え ビジネスロジック 上 の 問 題 CSRF など マクロ 化 = 診 断 手 順 の 自 動 化 複 数 ページに 渡 る 持 続 型 の 検 出 入 力 値 の 影 響 が 次 画 面 ではなく 他 の 画 面 にでるもの シナリオが 作 れないもの 手 順 が 決 めにくいもの 乱 数 使 ってたり 再 現 性 がない 一 度 しか 実 行 できない 処 理 脆 弱 性 の 発 動 に 複 数 のパラメーターを 利 用 するもの メール 受 信 CAPTCHA 二 要 素 認 証 などの 人 間 の 判 断 や 操 作 が 必 要 になるもの ツール 使 用 時 の 注 意 事 項 診 断 中 の 注 意 サーバに 掛 ける 負 荷 [ 関 係 ]スレッド 数 タイムアウトの 設 定 時 々 様 子 を 見 てあげないといけない ライセンス 確 認 ライセンスによって 機 能 が 異 なる 場 合 がある シグネチャのアップデート スレッド 数 の 設 定 設 定 が 適 切 か 必 ず 確 認 が 必 要 タイムアウトの 設 定 設 定 可 能 であることを 知 っていること 対 象 スコープの 設 定 診 断 対 象 となるドメインを 設 定 等 セッション 識 別 子 の 確 認 セッション 識 別 子 を 判 別 し 設 定 することができる CSRFトークン CSRFトークンを 判 別 し 設 定 することができる ログ 設 定 の 確 認 適 切 な 設 定 を 行 うことができる ログを 取 得 する 意 味 を 理 解 している ログが 正 しく 書 き 込 まれていることを 確 認 でき シナリオ(ジョブ マクロ ワークフロー)の 作 成 適 切 なシナリオ 作 成 を 行 うことができる ツールでは 診 断 の 実 施 が 困 難 な 画 面 の 確 認 を 行 うことができる 対 象 外 ページの 設 定 不 必 要 なパラメータ 等 の 削 除 必 要 なパラメータ 情 報 の 付 加 スキャン 対 象 URL 画 面 の 確 認 診 断 対 象 とすべき 画 面 が 全 て 含 まれているか 同 時 セッション ログオン 数 の 確 認 最 大 接 続 数 診 断 項 目 ポリシーの 作 成 選 択 スキャン 実 行 正 常 動 作 の 確 認 稼 動 ログの 適 切 な 確 認 診 断 技 術 ( 手 動 診 断 で 手 動 診 断 補 助 ツールの 機 能 使 うツール) 自 動 診 断 ツールの 特 徴 自 動 診 断 の 準 備 実 施 の 準 備 設 定 診 断 結 果 の 精 査 その 他 ツールの 機 能 報 告 会 診 断 実 施 後 のデータの 取 り 扱 い 再 診 断 検 出 が 得 意 な 脆 弱 性 検 出 が 難 しい 脆 弱 性 ツールによる 診 断 が 適 している 処 理 機 能 ツールによる 診 断 が 適 していないまたは 実 施 不 可 能 な 処 理 機 能 基 本 設 定 シナリオ 作 成 除 外 設 定 診 断 で 許 容 されていないURLが 含 まれていないか パラメータ 除 外 設 定 診 断 対 象 から 不 要 なパラメータを 除 外 する 設 定 を 行 うことができる ディレクトリ 除 外 設 定 診 断 対 象 から 不 要 なディレクトリを 除 外 する 設 定 を 行 うことができる 診 断 結 果 の 精 査 誤 検 知 の 確 認 診 断 対 象 画 面 の 実 施 成 否 の 確 認 補 助 機 能 スパイダー プロキシ リバースプロキシ リピーター ファザー/イントルーダー エンコーダ デコーダ diff/コンペア CSRF PoC Generator beautifier ログ ステートメント ワンタイムトークンの 設 定 HTTPS 復 号 レポート 機 能 5 ページ
タイムアウトの 設 定 設 定 可 能 であることを 知 っていること 対 象 スコープの 設 定 診 断 対 象 となるドメイン ディレクトリ パラメータを 設 定 等 認 証 機 能 の 設 定 アプリケーションに 認 証 (BASIC 認 証 等 )やクライアント 証 明 書 が 必 要 な 場 合 事 前 に 設 定 しリクエスト 時 に 自 動 付 与 する よう 設 定 することができる ブラウザのプロキシ 設 定 ブラウザでプロキシを 通 す 際 の 設 定 する 方 法 を 知 っていること 診 断 ツールのプロキシ 設 定 リクエスト/レスポンスのインターセプト 設 定 診 断 を 効 率 化 するツール netcat, stunnel, openssl レポーティング リス リスク 算 出 方 法 共 通 脆 弱 性 評 価 システム CVSS ク 算 出 法 律 手 動 診 断 の 準 備 報 告 書 の 種 類 報 告 書 に 記 載 する 内 容 法 律 や 犯 罪 ブラウザのプロキシ 切 り 替 え Webテストツール 基 本 設 定 インターセプトの 設 定 エグゼクティブ サマリー 通 常 の 報 告 書 導 入 部 診 断 実 施 概 要 総 合 評 価 個 別 の 脆 弱 性 不 正 アクセス 禁 止 法 威 力 業 務 妨 害 不 正 指 令 電 磁 的 記 録 に 関 する 罪 個 人 情 報 保 護 法 特 定 条 件 下 におけるインターセプト リクエスト/レスポンスに 特 定 の 条 件 化 ( 正 規 表 現 等 )でヒットした 場 合 にインターセプトする 設 定 を( 必 要 に 応 じて) 行 う 診 断 対 象 について 本 報 告 書 について 診 断 の 信 頼 性 について 運 営 上 存 在 する 業 務 上 のリスクについて 診 断 を 行 う 際 に 同 意 した 契 約 について 診 断 を 行 う 際 の 制 限 事 項 について 環 境 について 診 断 実 施 日 時 診 断 対 象 のURL IPアドレス 機 器 名 サービス 名 診 断 時 のネットワーク 環 境 診 断 実 施 者 診 断 ツール 診 断 結 果 の 総 合 評 価 診 断 結 果 に 対 する 診 断 員 のコメント 緊 急 性 の 高 い 脆 弱 性 についてのコメント 流 行 りの 攻 撃 についてのコメント 評 価 概 要 脆 弱 性 名 称 リスク 評 価 検 出 場 所 ペイロードのHTTPリクエストメッセージの 内 容 脆 弱 性 があると 判 断 した 理 由 画 面 キャプチャ 脆 弱 性 の 解 説 脆 弱 性 の 対 策 セキュリティの 問 題 を 一 意 に 識 別 する 識 別 子 (CWE CVEなど) ビジネスへの 影 響 や 脅 威 6 ページ
診 断 時 のルール 倫 理 セキュリティに 関 する 基 準 電 子 計 算 機 損 壊 等 業 務 妨 害 罪 その 他 損 害 賠 償 著 作 権 診 断 結 果 の 扱 い 方 守 秘 義 務 ゼロデイ 情 報 の 扱 い 方 脆 弱 性 の 届 け 出 IPAへの 届 け 出 制 度 IPAへの 届 け 出 フロー 調 整 機 関 (JPCERT/CC) ベンダーごとの 報 告 買 取 制 度 セキュリティに 関 する 基 準 ソフトウエア 等 脆 弱 性 関 連 情 報 取 り 扱 い 基 準 PCIDSS 各 種 ガイドライン ウェブ 健 康 診 断 OWASP TOP 10 著 作 権 とライセンス Copyright 2014 脆 弱 性 診 断 士 (Webアプリケーション)スキルマッププロジェクト2014 本 文 書 は クリエイティブ コモンズの 表 示 - 継 承 4.0 国 際 ライセンスの 下 に 提 供 されています 再 利 用 はまた 頒 布 の 際 には 本 作 品 の 使 用 許 諾 条 件 を 明 示 する 必 要 があります 7 ページ