概要
無料でサイトの脆弱性チェックできるツールのOWASP ZAPを使ってみて
脆弱性対応をしてみたというお話である。
OWASP ZAPのダウンロードは下記
https://github.com/zaproxy/zaproxy/wiki/Downloads
使い方
ところどころが日本語化されているので比較的に使いやすいかもしれない
クイックスタートより攻撃対象URLを入力して攻撃!
対象のサイトがどこかの外部サイトのものやCDNなどを使用されている場合は攻撃する前にURLの指定を外したほうが良い。
発生した脆弱性
X-Frame-Optionsヘッダーの欠如
「クリックジャッキング」攻撃を防止するために下記を追記することで対策できる。
他のサイトからiframeによるアクセスができないようにするために行う内容である。
.htaccessなら
Header set X-FRAME-OPTIONS "DENY"
H2Oなら
header.set: "X-Frame-Options: DENY"
PHP側で対応する場合なら
header("X-Frame-Options: DENY");
Cookie set without HttpOnly flag
CookieのセッションIDをJS経由で取得できてしまう脆弱性があるため
Cookieのセットの設定はHttpOnlyにしよう。
.htaccessなら
session.cookie_httponly = On
H2Oなら
header.append: "Set-Cookie: HttpOnly"
PHP側で対応する場合なら
ini_set('session.cookie_httponly', 1);
Cookie set without secure flag
secure属性を指定することでHTTPSの通信時のみクッキーを送信するようになるとのこと
.htaccessなら
session.cookie_secure = On
H2Oなら
header.append: "Set-Cookie: secure"
PHP側で対応する場合なら
ini_set('session.cookie_secure', 1);
Incomplete or No Cache-control and Pragma HTTP Header Set
SSL化されているのにキャッシュが許可されている場合に発生する問題
.htaccessなら
Header set Pragma no-cache
Header set Cache-Control no-cache, no-store, must-revalidate
H2Oなら
header.append: "Cache-Control: no-cache, no-store, must-revalidate"
header.set: "Pragma: no-cache"
PHPなら
header("Cache-Control: no-cache, no-store, must-revalidate");
header("Pragma: no-cache");
Web Browser XSS Protection Not Enabled
クロスサイトスクリプティング防止機能が無効になっていると出てくる問題らしい
.htaccessなら
Header always set X-XSS-Protection "1; mode=block"
H2Oなら
header.set: "X-XSS-Protection: 1; mode=block"
PHPなら
header("X-XSS-Protection: 1; mode=block");
最後に
あまり脆弱性による問題点とかあげられていないのでその辺の追加編集をしていかないと、、、
headerに情報を追加したものが多かったがサーバの設定で追加するべきなのかプログラム側で追加するべきなのかも調べておかないと。