unoh.github.com

～
後述する例は、様々なウェブアプリケーションを検査するとき発見された実際の脆弱性の例です。 誤診、見落とし、偏執症、とでも言うべきもので、重大に見えるようでいて結局重要ではありません。


1. 脆弱性調査結果: データベースアクセスにつながるSQLインジェクション脆弱性が発見されました。

結論: 適切なバリデーションチェックは指摘箇所の後で行われていました。そして、実際はどんなデータも抽出出来ませんでした。


2. 脆弱性調査結果: ログインページにSSLが存在していません。セッションIDとログインパスワードが平文で流れており、キャプチャ、ハイジャック、およびその他の行為を許容しています。

結論: 管理者はまだサーバのデジタル証明書を装填していませんでした。


3. 脆弱性調査結果: バッファオーバーフロー脆弱性のあるウェブサーバソフトウェアによって、リモートからのログインが許容されています

結論: ファイアウォールとIDSは、ウェブサーバへのすべてのトラフィックを許容する設定になっていました。


4. 脆弱性調査結果: Microsoft FrontPageのバーチャルディレクトリ、FTPディレクトリなどが攻撃される可能性があります。

結論: ディレクトリのパーミッション設定を妥当な状態にして使用することは出来ませんでした。


5. 脆弱性調査結果: .oldという拡張子のバックアップファイルにおいて、 ソースコード漏出と攻略に通じる問題が発見されました。

結論: そのファイルはアプリケーションのセキュリティにほとんど関係ない、ホームページの実行可能なファイルでした。


6. 脆弱性調査結果: 複数の脆弱性を持っている時代遅れのバージョンのApacheウェブサーバがインストールされています。

結論: システム上にApacheは存在しませんでした。


7. 脆弱性調査結果: Google Hacking Database (GHDB)で ファイル、リンク、およびEメールアドレスが発見され、重要な情報が漏洩したのが判明しました。

結論: これらのファイル、リンク、およびEメールアドレスはウェブアプリケーションの操作に必要なものでした。



8. 脆弱性調査結果: Macromedia Dreamweaver remote database scripts は任意のSQLクエリを実行する攻撃者からアクセス可能です。

結論: これらのファイルはマネージャ/管理者アカウントでログインするとアクセス可能であっただけで、そのように意図されていました。

～
あなたのウェブアプリケーションセキュリティがどんなに強固であっても、どこかの誰か常にアプリケーションを攻撃する方法を見つけるでしょう。
それはあなたがファイアウォール、IPS、バリデーションチェック、確実な認証要件、狭めたアクセス制御、強固なウェブサーバ、基本オペレーティングシステム、システムの監視などなどのフェールセイフのコントロールを層にしなければならなかった理由です。
1つのコントロールが失敗しても、あなたにはシステムを保護する他の半ダースのもの施策があります。

～

恐らく最も重要なことは、現実的な対応を心掛ける事によってあなたは、あなた、あなたのチーム、および開発者のためにより少ない仕事量を導き出し、皆が本当に重要なものに焦点を合わせることができるでしょう。