3分で読める「ウェブ健康診断」のすゝめ

#はじめに
本記事はIPAが公開している『ウェブ健康診断』の要約記事です。
引用元pdfも短いので興味ある方はそちらを読むことを推奨しますが、「pdfってなんか読む気なくす…」っていうめんどくさがりさん向け記事です。

#目次
1.ウェブ健康診断って？
2.対象の脆弱性
3.総合判定所見

#1.ウェブ健康診断って？
IPAが公開しているwebアプリケーションの簡易検査マニュアルです。危険度の高い13個のwebアプリケーションの脆弱性の有無を、BurpSuiteのようなツールを使うことでとても簡単に検査できます。

一方で、以下に引用したようにあくまで簡易的な検査であることを忘れてはいけません。
脆弱性が発見されたらより詳細な検査を行う必要があり、健康診断で見つからなくても脆弱性がある可能性があります。

ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解ください。また、診断対象のウェブアプリケーションの全てのページを診断するものではなく、診断対象の規模にもよりますが、基本は抜き取り調査(診断)です。

引用元：IPA『ウェブ健康診断仕様』

#2．対象の脆弱性
(A)SQLインジェクション
(B)XSS
(C)CSRF
(D)OSコマンド・インジェクション
(E)ディレクトリ・リスティング
(F)メールヘッダ・インジェクション
(G)パス名パラメータの未チェック／ディレクトリ・トラバーサル
(H)意図しないリダイレクト
(I)HTTPヘッダ・インジェクション
(J)認証
(K)セッション管理の不備
(L)認可制御の不備、欠落
(M)クローラへの耐性

個々の用語解説(知らない人向け)

(A)SQLインジェクション：SQL文に不正な文字列を注入すると、DBの不正閲覧・改ざんが可能な脆弱性 (B)XSS(クロスサイト・スクリプティング)：掲示板に別のサイト(クロスサイト)へ遷移するリンクを貼り付け、閲覧者がクリックすると悪意のあるスクリプトが実行される攻撃手法が可能な脆弱性 (C)CSRF：利用者が無害なサイトにログインした状態で不正なURLをクリックすることで予期せぬ動作(犯行予告、キャッシュカードの不正利用)を無害なサイトにたいして行わせる攻撃手法が可能な脆弱性 (D)OSコマンド・インジェクション：webサイトの入力フォームに不正な文字列を入力して、webサイトのOSコマンドを実行できてしまう脆弱性 (E)ディレクトリ・リスティング：URLで指定したディレクトリのファイル一覧が表示されてしまう脆弱性 (F)メールヘッダ・インジェクション：メールヘッダを改ざんすることで不特定多数へのメール送信が可能になってしまう脆弱性 (G)パス名パラメータの未チェック／ディレクトリ・トラバーサル：webサイトが公開を意図していないディレクトリにアクセスできてしまう脆弱性 (H)意図しないリダイレクト：クエリストリングなどを変更することで、別のサイトに遷移させられてしまう脆弱性 (I)HTTPヘッダ・インジェクション： HTTPヘッダを改ざんすることでユーザに表示されるwebコンテンツが改ざんされる脆弱性 (J)認証：認証の仕組みが脆弱でないか (K)セッション管理の不備：セッション管理が適切か (L)認可制御の不備、欠落：アクセス制御・認可制御が適切か (M)クローラへの耐性：検索データベースを作成するためにウェブページのデータを回収する「クローラ」と呼ばれる自動プログラムのアクセスに耐えうるか －－－－－－－－－－－－－－－－－－－－－－－－－－－－

#3.総合判定所見
検査の結果の所見として「要治療・精密検査」「差し支えない」「以上は検出されなかった」の3段階があります。

総合判定所見	基準
要治療・精密検査	危険度が「高」・「中」の脆弱性が検出された
差し支えない	危険度が「低」の脆弱性のみ検出された
異常は検出されなかった	脆弱性は検出されなかった

危険度「高」・・・(A),(D),(G),(L),(E)
危険度「中」・・・(B),(C),(E),(F),(H),(I),(J),(K),(M)
危険度「低」・・・(E),(J),(K),(M)
※検査結果によって危険度が変わる脆弱性も存在します

#4．おわりに
あと書いてないことは、実際の検査コードくらいしかないほど簡単な検査です。
以下に実際に検査を行った記事があるので、興味がある人は見てみてください。
脆弱性検査やってみたいけど、詳しい知識しらない・・・という方の入門にもおススメです。

formzu『【Web技術】BurpSuiteでウェブ健康診断をしてみる』