診断概要
Webで使用しているCGIなどを含む動的コンテンツのページにおいて、不正アクセスの危険性が潜んでいないか調査します。
主な検査のポイント
1)クロスサイトスクリプティング ※1
2)SQLインジェクション ※2
3)パラメータ改ざんによる不正操作
4)隠しフィールドの改ざんによる不正操作
5)クッキーの改ざんによる不正操作
6)ディレクトリ遷移 ※3
7)セッションハイジャック
8)クロスサイトリクエストフォージェリ
※1 クロスサイトスクリプティング
攻撃者が作成した悪意のあるスクリプトをWebアプリケーションを介してWeb閲覧者のブラウザ上で実行
されてしまう脆弱性の有無について診断
※2 SQLインジェクション
想定していないSQLをWebアプリケーションに実行させることによりデータベースを不正に操作されてしまう脆弱性の有無について診断 最大100パラメータ
※3 ディレクトリインデックス
対象ディレクトリに含まれるファイルの一覧を表示してしまい公開を意図していないファイルの閲覧・実行を許可してしまう脆弱性の有無について診断
診断対象
基本URLを起点とし、そのリンク先にあるWebページ(同一ドメイン内、より下部ディレクトリにあるものに限ります)
診断対象外
1)日本語ドメインのURL
2)PCからインターネット経由でアクセスできない場合
3)診断対象のサイトにアクセスするために特別な機器やソフトウェアを用いる場合
4)JavaやFlash等のクライアントアプリケーションと連携したページ
5)ファイルアップロード(multipart)等のリクエスト形式のページ
6)画像ファイル、動画ファイル、PDF、Flash、圧縮ファイル等
7)その他、起点となるURLからたどることができないページ、または、形式がHTML、JavaScript、スタイルシート以外であるページ
8)お客さまが診断対象外として指定したページ
各種の不正アクセスの概念図
下記のサイトに参考となるイメージが載っています。
参考URL)
独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
フリーソフト
サイトのチェックが出来るフリーソフトは幾つかありますが、その中から幾つかピックアップして紹介します。
1)XSS対応チェックツール
製品名:FireFox Addon XSS Me
URL:https://addons.mozilla.org/en-US/firefox/addon/xss-me/
2)セキュリティ診断ツール
製品名:Nikto(ニクト)
URL:http://www.cirt.net/nikto2
報告書サンプル
検査後、問題のあった箇所について以下のような報告書を作成して提出します。
