LoginSignup
106
109
@jun2014(Jun Shikoda)

セキュリティテスト

Last updated at Posted at 2015-07-31

セキュリティ課題

昨今、個人情報の漏洩データ改竄等のセキュリティ事故・被害が多くなり、セキュリティ意識の重要性が広く知られるようになった。

また、セキュリティ人材不足もあり、今後のセキュリティの対してのあり方も考えないといけないのが実情である。

まずは、「システム脆弱性」 への対策が直近の優先課題となる。

脆弱性への対策を考える

感染経路の確認
1.電子メールの添付ファイル(何気なく開封したファイルが対象になっていることも)
2.ホームページを閲覧
3.USBメモリ
4.ファイル共有ソフト
5.マクロプログラム
6.アプリのインストール
7.ブラウザのアドオン
8.ワンクリック(偽サイトへの誘導)
9.ワンクリック(SMSからの誘導)
10.ファイルをダウンロード

セキュリティテストを実行するのか

設計上の欠陥構成エラーハードウェアソフトウェアの脆弱性コーディングエラー、 および情報システムの能力に影響を及ぼす可能性があるため。

不正アクセスにより顧客の個人情報が流出する事故が多いためである。

また、十分なセキュリティ対策が実装されているかどうかを確認する。

結果、脆弱性が見つかり事業の見直し、さらには企業の存続と、社会的影響は計り知れない。

セキュリティ対策
1.ワーム、トロイの木馬対策、プログラム改ざんウイルス
2.情報漏洩対策
3.バックドア(遠隔からコンピュータを操作)対策

主なテスト種類

Cross-siteRequestForgery  リクエスト強要
Webアプリケーションのサーバー側機能を、利用者の意図に反して勝手に実行させる攻撃
クロスサイトスクリプティング
アプリケーションの表示上のバグを悪用して、利用者のブラウザー上で任意のJavaScriptを実行
SQLインジェクション
Webサーバへの不正アクセスが原因で会員情報が流出。
アプリケーションが想定しないSQL文を実行させることにより、 データベースシステムを不正に操作する攻撃方法。要は、正規の認証なく、データベースにアクセスすることが可能
Webサイトの改竄
悪意のある第三者が、管理者の意図しない変更を行う(実際にサイトにアクセスしないとわからないことが多い。)
ディレクトリ・トラバーサル
「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法
OSコマンド・インジェクション
ディレクトリ・トラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法

スマホアプリセキュリティ診断

外部委託時の概算見積となります。

1画面だいたい約10万ぐらい。20画面だと200万は必要。
AndroidとiOSだと400万円弱。

セキュリティ診断ツール
Secure Coding Checker

一般社団法人日本スマートフォンセキュリティ協会(JSSEC)とは

診断内容

AndroidManifest.xmlの設定
情報アクセス利用権限の設定診断
ライブラリ、フレームワークの脆弱性
なりすまし診断
機密情報漏えい診断(端末内データ情報/外部サーバ通信情報)
HTML表示の脆弱性(WebView)診断 
アプリケーション連携機能不正利用診断
課金不正利用診断

セキュリティツール

1.VADDY
2.BurpSuite
3.Wireshark
4.OWASP ZAP
5.Firefoxアドオン
6.nogotofail

Webアプリケーション診断:VADDY

脆弱性テスト/侵入テストを行う場合、申請不要です。(2019年に変更)

AWS:侵入テストを実施

テスト.png

セキュリティツールを使用します。

VADDY
脆弱性検査を実施。多くの会社での導入実績あり。
まずは、FREE版を使ってみます。

vaddy:脆弱性検査を実施
1.使ってみました。そこそこわかりやすいですね。
2.Selenium自動化で定期的に「SQLインジェクション」や「XSS」のテストができます。
3.検査したいURIのクロール情報を作成し、そのURIに対してスキャンを実行
てすと.png

vaddy.png

セキュリティテスト結果になります。
特に目立ったものは見つかりませんでした。

ちょこっと内容を確認してみます。
①従量課金のスキャンは提供しません
②継続的にテストする必要がない検査は実装せず

誰でも使いこなせるツールなので、これでセキュリティ面に関してはどうにかできれば。
期待しております。

テスト.png

久々に使ってみました。UIが変わっていた。

Vaddy.net shimada2012.tank.jp 573.png

BurpSuite

一般的には、「ローカルプロキシツール」
Internet Explorerで使用してください。
リクエストする情報を改ざんして脆弱性
クローリングしてURLのリストを取得
取得したURLに対して脆弱性がないか診断
Burp Suiteはプロキシサーバとなり、Webサイトとブラウザの間に入りリクエストを傍受し脆弱性診断するツール

対象URL
https://portswigger.net/burp/

1.サイトを開きます。
https://portswigger.net/burp/download.html
2.FreeEdition(Professionalは、4万弱なので、ちょっと考える)をダウンロード
BurpSuite.png

2.「Free Edition」をダウンロードします。「ファイルを保存」ボタンをクリック
無題.jpg

3.ローカルに落とします。

4.インターネットオプションの接続のローカルエリアネットワークの設定の「LAN設定」ボタンクリック
IE.jpg

5.プロキシサーバーの設定
無題.jpg

6.「burpsuite_free_v16.28.jar」ファイルをクリックし、起動します。

無題.jpg

Wireshark

ネットワーク・アナライザ・ソフトウェア
プロトコルごとのカラー表示、キャプチャフィルター、表示フィルター、高度な検索機能などで、問題のトラフィックを識別したり、統計・グラフ機能で分析したりすることが可能
前提として「ネットワークの知識:TCP/IPの知識」
https://www.wireshark.org/

OWASP ZAP

脆弱性診断ツールです。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Firefoxアドオン

SQLインジェクション
アプリケーションが想定しないSQL文を実行させる

アドオン追加はここです。
https://addons.mozilla.org/ja/firefox/addon/sql-inject-me/

nogotofail

設定ミスや既知のバグによってHTTPS接続の安全性が損なわれることを防ぐ
nogotofail

106
109
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
106
109