セキュリティ課題

昨今、個人情報の漏えい顧客情報流出などのニュースを耳にすることにより、セキュリティ意識の重要性が広く知られるようになった。

まずは、「システム脆弱性」への対策が直近の優先課題となる。

脆弱性への対策を考える


感染経路を確認する

1.電子メールの添付ファイル(何気なく開封したファイルが対象になっていることも)

2.ホームページを閲覧
3.USBメモリ
4.ファイル共有ソフト
5.マクロプログラム
6.アプリのインストール
7.ブラウザのアドオン
8.偽サイトへの誘導



なぜ?セキュリティテストを実行するのか

設計上の欠陥構成エラーハードウェアソフトウェアの脆弱性コーディングエラー、 および情報システムの能力に影響を及ぼす可能性があるため。

不正アクセスにより顧客の個人情報が流出する事故が多いためである。

また、十分なセキュリティ対策が実装されているかどうかを確認する。

結果、脆弱性が見つかり事業の見直し、さらには企業の存続と、社会的影響は計り知れない。


セキュリティ対策

1.ワーム、トロイの木馬対策、プログラム改ざんウイルス

2.情報漏洩対策
3.バックドア(遠隔からコンピュータを操作)対策


テスト種類


Cross-siteRequestForgery  リクエスト強要

Webアプリケーションのサーバー側機能を、利用者の意図に反して勝手に実行させる攻撃



クロスサイトスクリプティング

アプリケーションの表示上のバグを悪用して、利用者のブラウザー上で任意のJavaScriptを実行



SQLインジェクション

Webサーバへの不正アクセスが原因で会員情報が流出。

アプリケーションが想定しないSQL文を実行させることにより、 データベースシステムを不正に操作する攻撃方法。要は、正規の認証なく、データベースにアクセスすることが可能

・Webサイトの改竄

・データベースの停止


ディレクトリ・トラバーサル

「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法



OSコマンド・インジェクション

ディレクトリ・トラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法



スマホアプリセキュリティ診断

外部委託時の概算見積となります。

1画面だいたい約10万ぐらい。20画面だと200万は必要。

AndroidとiOSだと400万円弱。

セキュリティ診断ツール

Secure Coding Checker

一般社団法人日本スマートフォンセキュリティ協会(JSSEC)とは


診断内容


AndroidManifest.xmlの設定
情報アクセス利用権限の設定診断
ライブラリ、フレームワークの脆弱性
なりすまし診断
機密情報漏えい診断(端末内データ情報/外部サーバ通信情報)
HTML表示の脆弱性(WebView)診断
アプリケーション連携機能不正利用診断
課金不正利用診断


セキュリティツール

1.VADDY

2.BurpSuite

3.Wireshark

4.OWASP ZAP

5.Firefoxアドオン

6.nogotofail


Webアプリケーション診断:VADDY

AWSの場合、脆弱性テスト/侵入テストを行う場合は事前申請が必要です。

AWS:侵入テストを実施

セキュリティツールを使用します。


VADDY

脆弱性検査を実施。多くの会社での導入実績あり。

まずは、FREE版を使ってみます。

vaddy:脆弱性検査を実施

1.使ってみました。そこそこわかりやすいですね。

2.Selenium自動化で定期的に「SQLインジェクション」や「XSS」のテストができます。

3.検査したいURIのクロール情報を作成し、そのURIに対してスキャンを実行

セキュリティテスト結果になります。

特に目立ったものは見つかりませんでした。

ちょこっと内容を確認してみます。

①従量課金のスキャンは提供しません

②継続的にテストする必要がない検査は実装せず

誰でも使いこなせるツールなので、これでセキュリティ面に関してはどうにかできれば。

期待しております。

久々に使ってみました。UIが変わっていた。


BurpSuite


一般的には、「ローカルプロキシツール」

Internet Explorerで使用してください。

リクエストする情報を改ざんして脆弱性
クローリングしてURLのリストを取得
取得したURLに対して脆弱性がないか診断
Burp Suiteはプロキシサーバとなり、Webサイトとブラウザの間に入りリクエストを傍受し脆弱性診断するツール

対象URL

https://portswigger.net/burp/

1.サイトを開きます。

https://portswigger.net/burp/download.html

2.FreeEdition(Professionalは、4万弱なので、ちょっと考える)をダウンロード

2.「Free Edition」をダウンロードします。「ファイルを保存」ボタンをクリック

3.ローカルに落とします。

4.インターネットオプションの接続のローカルエリアネットワークの設定の「LAN設定」ボタンクリック

5.プロキシサーバーの設定

6.「burpsuite_free_v16.28.jar」ファイルをクリックし、起動します。


Wireshark

ネットワーク・アナライザ・ソフトウェア

プロトコルごとのカラー表示、キャプチャフィルター、表示フィルター、高度な検索機能などで、問題のトラフィックを識別したり、統計・グラフ機能で分析したりすることが可能

前提として「ネットワークの知識:TCP/IPの知識」

https://www.wireshark.org/


OWASP ZAP

脆弱性診断ツールです。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project


Firefoxアドオン


SQLインジェクション

アプリケーションが想定しないSQL文を実行させる


アドオン追加はここです。

https://addons.mozilla.org/ja/firefox/addon/sql-inject-me/


nogotofail


設定ミスや既知のバグによってHTTPS接続の安全性が損なわれることを防ぐ

nogotofail


https://github.com/google/nogotofail