あなたのWebサイトをスキャンする
セキュリティに興味がある方、一度や二度、セキュリティスキャンツールをつかったことがあるだろう。
ない人は、いつか使ってみたい、そう思ったことがあるはずだ。
GitLabは、所詮「ソースコード管理」だと思っていた私が、つい先日、パイセンから教わったGitLabの秘密についてご紹介したい。
DASTって知ってますか?
DAST、というのは、「ダスト」、「Dynamic Application Testing」の略。
よくわからない人は、セキュリティの脆弱性を見つけてくれるツールと思えばよい。
もちろん、世の中はもっと細分化しているが、難しく書くと眠くなるので、簡単にそうお伝えしておく。
使い方
GitLab Ultimate必須
使い方は、GitLabのCE版(Community Edition)ではなく、GitLabのUltimate版(最上位版)を使う。お持ちじゃない人は、GitLabのUltimateのトライアルを申し込むとよい。
1. GitLab Ultimateを手に入れる / もしくは Ultimate トライアル版
2. テスト用のWebサイトを見つける
ここは、ある意味重要で、他人のWebサイトをいきなりスキャンすると、諸々の処罰の対象になる可能性があり。いわゆる、ハッキング攻撃をしているということになるので、やってはいけない。
そのかわり、世の中には、セキュリティテスト用のWebサイトを用意してくれている方がいる。そのうち、今回ご紹介&使うのは、「OWASP Juice Shop」という、セキュリティツールで有名な「OWASP」プロジェクトが用意してくれているサイトにする。
URLは、 https://owasp.org/www-project-juice-shop/ の、画面右下の「Online Demo ( https://juice-shop.herokuapp.com/ )」。
3. さて、GitLabの設定開始。まずはプロジェクトを作る
ここで、「Create blank project」を作る。
名前はなんでもよい。適当につくる。
こんな感じ。
4. まっすぐに「Secure」-「Security configuration」に進む
左のメニューから、この「Security configuration」に進む。
5. 「Enable DAST」をクリック
すると次の画面が表示されるので、「Select scanner profile」をクリック。
6. プロファイルを作る
次のように、画面右にポップアップ?がにょきっと出てくるので、そこの「New scanner profile」をクリック。
もろもろカスタマイズできるが、ここは次のように選択。ここでは、「Profile name」に「test」とする。この名前は、なんでもよい。
「Scan mode」の「Active」「Passive」は、今回は説明を割愛します。Activeを選択しようとすると怒られる。この設定については、いずれまた今度ご説明する。
はい、では、ここでは「Save profile」をクリックして設定を完了させる。
7.サイトプロファイル、なるものを作る
あともう一箇所設定が残っている。次のように、
[Select site profile]をクリック。
ふたたび、右から以下のようなメニューがでてくるので、「New site profile」をクリック。
ここで先程ご紹介した、やられサーバーのURL ( https://juice-shop.herokuapp.com/ ) を設定する。
[Profile name]はなんでもよい。設定したら、[Save profile]をクリック。
8. あともう少し
画面左下の[Generate code snippet]が押せるようになっているはず。
このボタンを押す。
9. 定義ファイル( .gitlab-ci.yml ファイル )を作る
GitLabというのは、バッチシステムみたいな機能を持っていて(CI/CDとかはそれで実現されている)、その定義ファイルが「.gitlab-ci.yml」という固定のファイル名。
このファイルをつくって、このプロジェクトのgitレポジトリに突っ込んでおくと、GitLabはその中身を、問答無用で実行する、という仕組みになっている。
その中身を、この画面が作ってくれた、ということだ。
というわけで、画面右下の[Copy code and open .gitlab-ci.yml file]ボタンを押す。
すると次の画面が表示されるので、[Configure pipeline]をクリック。
いきなり、ばっとソースコードっぽいのが書かれているが、これをすべて捨てる。
捨てるといっても、このコードの部分を全部選択して、(クリップボードにコピーされているはずの、先程生成した、.gitlab-ci.ymlのコード)上書きする。
上の画面が、下のようになるはず。
ついうっかり、なにかをコピーして、クリップボードを書き換えてしまった方は、ブラウザの戻るボタンで戻って、コピーをもう一回取りに行けばよい。
では、ここで[Commit changes]をクリック。
10. 設定終わり。もうスキャンがスタートしました
え・・・という感じだが、ここまで来たあなたは、いまちょうど、さっきの「やられサーバー」に攻撃しまくってる状態になっている。
左のメニューから[Pipeline]を選択すると、いまスキャン実行中の様子が確認できる。
(具体的には、これはGitLab Runner(共有)が仕事してくれているが、それはまた説明しよう)
おわるまで待つ。おっそー(遅い)という方、ご心配なく。GitLab Runnerをハイスペックのものに変更すれば、もっと速攻で終わる。ただ、今回はセキュリティのスキャンなので、はやく終わればなおよい、みたいな、そんな単純な世界ではない。
11. 様子を確認
無事終わると、次のように[Passed]という状態になる。
ここをクリック。
12. スキャン結果の確認
Securityタブが表示され、そこをクリックすると、次のように脆弱性がダーッと出てきているはず。
今回 Activeじゃなく、Passiveだったので、この程度のものが検出されている。もっと激しく、さらにカスタマイズかけると、もっといろいろ検出できる。
ちなみに、左のメニューの[Secure]-[Vulnerability report]をクリックすれば、同じような画面をいつでも呼び出せる。
という感じで、任意のサイトをセキュリティスキャンすることができたことがわかったと思う。
当然、これは仕組みとして呼び出せるので、いろいろな使い方ができるはず。
みなさんもぜひどうぞ。