Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à フリーでやろうぜ!セキュリティチェック!
Similaire à フリーでやろうぜ!セキュリティチェック! (20)
Plus de zaki4649
Dernier
Dernier (9)
フリーでやろうぜ!セキュリティチェック!
- 3. Shun Suzaki(洲崎 俊) Twitter: @tigerszk ユーザ企業のセキュリティチームに所属する「とある診断員」 Satoshi Ogawa(小河哲之) Twitter: @number3to4 アルコール摂取に余念がないセキュリティエンジニア Yuho Kameda(亀田勇歩) Twitter: @YuhoKameda 世界に羽ばたく OWASP ZAP Evangelist I‘M A CERTAIN PENTESTER NO DRINK, NO HACK! I LOVE OWASP ZAP!
- 4. 脆弱性診断 システムやアプリケーションの脆弱性を発見し、安全性 について調査を行うもの セキュリティベンダがサービスとして提供している 最近は自前で商用ツールを導入して、自社内の開発物 に検査しているケースも多い
- 5. 一般的な手法~その1~ FW サーバ機器 診断環境 診断対象環境 Webアプリ NW機器 ブラックボックステスト 診断対象システムに対して、疑似攻撃を試行し、 応答結果を分析して脆弱性を洗い出す Attack! × 診断実施者 × Internet
- 8. やると色々良いことがあります! • 現状のセキュリティリスクを把握できる • 設定、実装時のミスを確認できる • 発見した脆弱性を対策することで、セキュリティインシ デントの発生を予防 … etc
- 9. しかし現実には、、、 さまざまな諸事情によって、何もチェックされていない システムやアプリなどがまだまだ多く散見されます… • コストをかけられない • スケジュールに余裕がない • リソースが足りない • 何をすれば良いかわからない orz...
- 12. 今回のセッションの主旨 以下をテーマにセキュリティチェックのTipsをご紹介 FREE(無料) 手間がかからない Easy Button / GotCredit
- 14. インフラ編 zoomed in front of server / CWCS Managed Hosting
- 16. まず何をしないといけないのか 2つの観点で、問題点を洗い出すことが可能です。 1. どのサービスが稼働しているのか? 2. 稼働しているサービスにセキュリティ上の問題は? → ポートスキャンによる稼働しているサービスの確認 → 脆弱性スキャンによるセキュリティ上の問題点の確認
- 20. 1. ポートスキャンについて ポートスキャンを行うためのアプリケーションとして Nmap があります。 https://nmap.org/ (英語) Linux、Windows、Mac OS Xや多くのUNIXプラットフォーム で実行が可能。NmapはCUIですが、GUIで操作が可能な アプリケーションとしてZenmapがあります。
- 21. 1. ポートスキャンについて Nmapは複数のオプションがあり、一部抜粋します。 -sS ・・・ SYNスキャン -sT ・・・ CONNECTスキャン -sU ・・・ UDPスキャン -sP ・・・ PINGによるホストの探索(ポートスキャンは実施しない) -n ・・・ DNSによる名前解決を行わない -p ポート ・・・ 指定したポートに対してスキャン -A ・・・ アプリケーションのバージョンおよびOSの検出を行う -T 数値 ・・・ スキャンするタイミングを指定する数値(1から5)で実施する -oN ファイル名 ・・・ ファイル名にスキャン結果を出力する -iL ファイル名 ・・・ ファイル名に記載されたホストまたはネットワークを対象 -v、-vv ・・・ 詳細情報が出力される 例: nmap -sS -P0 –n –p1-65535 –A –T4 –oN output –vv 対象IP 参考サイト:https://nmap.org/man/jp/ (日本語)
- 22. 1. ポートスキャンについて オプションは状況にあわせて設定してください。 nmap -p1-65535 –sS –A 対象IP ・ TCPのすべてのポートへSYNスキャン。OS、サービス検出。 nmap -sU -P0 対象IP ・ UDPの主要ポートへスキャン。PINGでの確認を行わない。 nmap -sS -sU -p T:80,443,U:53,111 -T4 対象IP ・ TCP、UDPの特定ポートへスキャン。スキャンタイミングを早くする。
- 23. 1. ポートスキャンについて スキャンにかかる時間は、TCPよりもUDPの方が多くなって しまいます。 TCP: nmap --top-ports 100 対象IP ⇒ スキャンにかかった時間:0.09s UDP: nmap –sU --top-ports 100 対象IP ⇒ スキャンにかかった時間:108.43s ※同一PC上に2つの仮想環境を構築し、スキャンを実施。
- 25. 1. ポートスキャンについて 以下は「-A」オプションを付与した結果を抜粋したものです。 53/tcp open domain ISC BIND 9.4.2 | dns-nsid: |_ bind.version: 9.4.2 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Device type: general purpose Running: Linux 2.6.X ポートの稼働状況やアプリケーションの情報、スキャン対象 のOSに関する情報を取得することが可能です。
- 26. 1. ポートスキャンについて スキャン結果を以下の観点で確認してみてください。 ① 稼働するサービスの中で、必要なものとそうでないもの を確認する。 ② 不要なサービスは止める。止めることの影響が不明な 場合、FWなどでアクセス制限をかける。 ③ 稼働するサービスでアプリケーションのバージョンなどの 情報は出力しないように、設定を見直す。
- 31. Immediately scanは、トップ画面でIPアドレスまたはホスト 名を入力し、「Start Scan」を押下すると脆弱性スキャンが 開始されます。 UDPのチェックが行われないため、DNS などのUDPに対するチェックを行いたい 場合、別途設定する必要があります。 2. 脆弱性スキャンについて
- 33. 同じ対象に対してスキャンを行った場合でも、認証情報の 有無によりスキャン結果は変わってしまいます。 High Medium Low Log 認証情報あり 129 161 25 87 認証情報なし 26 37 8 74 0 20 40 60 80 100 120 140 160 180 検出数 2. 脆弱性スキャンについて
- 35. 2. 脆弱性スキャンについて
- 38. 2. 脆弱性スキャンについて
- 41. 2. 脆弱性スキャンについて
- 44. 「Scan Targets」にTargetで設定したものを選択します。 「Scan Config」では、スキャンパターンを選択します。 「Full and very deep」を推奨します。 2. 脆弱性スキャンについて
- 48. 2. 脆弱性スキャンについて
- 56. Nmapにも脆弱性スキャンの機能が実装されています。 nmap --script [カテゴリ名|ファイル名|など] 対象IP カテゴリ名は、auth、broadcast、brute、default、 discovery、dos、exploit、external、fuzzer、intrusive、 malware、safe、version、vulnの14つカテゴリおよびallを指 定できます。 参考サイト:http://nmap.org/book/nse.html (英語) 2. 脆弱性スキャンについて
- 57. 2. 脆弱性スキャンについて カテゴリを複数指定することも可能です。 nmap --script auth,vuln,safe,version 対象IP 結果の一部抜粋 ssl-heartbleed: VULNERABLE: The Heartbleed Bug is a serious vulnerability in the popular OpenSSL nmap --script ssl-heartbleed.nse 対象IP 特定のスキャン項目をファイル名で指定することも可能です。
- 62. Webアプリ編 HTTPS / Christiaan Colen
- 63. Webアプリ診断について • なぜWebアプリ診断が必要なのか? – Webアプリに存在する脆弱性の発見 – バグや設定不備の残存を確認 • Webアプリに脆弱性があるとどうなるのか? – サーバ内に存在するデータの流出 – Webページ改ざんによるマルウェアの拡散
- 64. Webアプリ診断に使えるフリーツール • OWASP ZAP (Zed Attack Proxy) – 簡単に使えるフリーの脆弱性診断ツール – ローカルProxyツール • https://github.com/zaproxy/zaproxy/ • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project – ユーザコミュニティが活発 • Developer Group / User Group • 日本語翻訳チーム など
- 65. どのように診断するのか POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name=username&mail=user%40example.jp”>xss&gender=1 正常なリクエストを改ざんし、 診断用文字列を送り付けた応答結果を確認する
- 66. Webアプリ診断で検出できること • 攻撃に繋がる危険性のある脆弱性の検出 – SQLインジェクション – クロスサイトスクリプティング – コマンドインジェクション – ディレクトリ・トラバーサル – HTTPヘッダインジェクション など
- 67. 簡単にできるWebアプリ自動診断 • ZAPを使って自動診断してみる 1. 診断範囲の設定 2. スパイダー機能 3. 動的スキャン機能 4. ディレクトリ探査機能 5. アラート機能(レポート) 6. 検出結果を分析
- 68. 今回の診断対象 • OWASP BWA(The Broken Web Applications) • Bodge It – 様々な脆弱性が残っているWebアプリケーション – 「about」ページから、どの脆弱性を見つけることが出来た かチェックできる (トレーニング機能)
- 73. スパイダー機能
- 75. ディレクトリ探査機能 • 存在するディレクトリを総当たりチェック • チェックする種類 – デフォルトで存在しやすい名前 – 狙われやすいサービス名 など
- 79. 実際に検出する脆弱性の事例 • SQLインジェクション – 脅威例 • データベース内の改ざん、漏えい • 認証を回避した不正ログイン – 対策例 • 適切なエスケープ処理、バインド機構の利用 • システムエラーの非表示 • その他の対策はAppendix[安全なウェブサイトの作り方]を参照! 顧客の情報を 扱ってるな… 管理画面も…‼
- 80. 実際に検出する脆弱性の事例 • クロスサイト・スクリプティング – 脅威例 • 悪意があるスクリプトの挿入 • Cookie漏えいによる「なりすまし」 – 対策例 • 適切なエスケープ処理 • ダブルクォート(“)で囲う • その他の対策はAppendix[安全なウェブサイトの作り方]を参照! 資料請求や 質問掲示板を 実装したばかり…
- 81. 検出結果を分析 • 検出した脆弱性が再現するか確認 • 検出した脆弱性がサービスに与えるリスクを把握 – 管理する個人情報データの漏えい – 管理画面への侵入や乗っ取り など • 修正できる脆弱性は対策を検討する – 危険度の高い脆弱性について関係者へ報告 – Webエンジニアへ検出した内容を伝え修正依頼
- 84. 参考情報 • ZAPに関する過去の発表資料 – https://www.owasp.org/index.php/User:Yuho_Kameda • OWASP ZAP Japan Group – https://groups.google.com/forum/#!forum/owasp-zaproxy-japan • OWASP ZAP User Group(英語) – https://groups.google.com/forum/#!forum/zaproxy-users • OWASP ZAP (Zed Attack Proxy)関連記事 – http://www.pupha.net/owasp-zap/
- 85. 最後に
- 89. 脆弱性診断時における注意事項
- 90. 診断の注意事項 ー診断対象のプラットフォームに関することー 診断対象プラットフォームが、ホスティング環境やクラウドサービスを利用しているような 場合には、不正アクセスとして判断されないために、事前に必ず管理元に許可を取得 するようにしてください。 クラウドサービスによっては以下のように専用の申し込み窓口があるものもあります。 • 侵入テスト AWS セキュリティセンター https://aws.amazon.com/jp/security/penetration-testing/ • Microsoft Azure での侵入テスト (ペネトレーションテスト) の申請について http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/microsoft-azure-penetration-test- request.aspx また、診断対象をIDS、IPSなどで監視をしている場合には、脆弱性診断作業によってア ラートが上がってしまう可能性があります。 そのため関係者に対して、事前に脆弱性診断を実施する旨の通知と一時的にアクセス 元IPからの通信を非監視にしていただくなどの対応をお願いすべきでしょう。
- 93. OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check • 指定したディレクトリとファイルをスキャンし、脆弱性が報告されているようなラ イブラリを利用していないかチェックしてくれるツール • 指定した範囲内のファイルを解析し、NVD CVEデータベース情報を利用し て、脆弱性が報告されているライブラリの利用があるかをレポート出力してく れる • 実行するにはJava環境が必要であり、コマンドライン以外にも、以下のような 連携プラグインが用意されている – Maven Plugin – Ant Task – Jenkins Plugin • 現在はJava・.Net・pythonアプリケーションをサポートしているとのこと
- 95. 検出したライブラリに報告されている脆弱性情報の詳細を出力 Struts 1.x系に報告されているStruts: ClassLoader の操作 を許してしまう脆弱性(CVE-2014-0114)を指摘
- 96. Microsoft Baseline Security Analyzer(MBSA) https://technet.microsoft.com/ja-jp/security/cc184924.aspx • Windows OSにおける以下項目についてスキャンして状態をレポートし てくれるマイクロソフトが提供しているツール – セキュリティ更新プログラムの適用状況 – 脆弱性があるWindowsの構成上の問題 – IISの状態 – SQL Serverの状態 – IE及びOffice製品の状態
- 98. 設定上の問題なども検出してくれる
- 100. OWASP BWA(The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project • 意図的に脆弱性が盛り込まれたWebアプリケーションが動作している サーバの仮想マシンイメージを配布している • 以下のカテゴリに分かれた複数の様々な練習用Webアプリケーションを 利用できる – Training Applications – Realistic, Intentionally Vulnerable Applications – Old Versions of Real Applications – Applications for Testing Tools – Demonstration Pages / Small Applications
- 102. AppGoat http://www.ipa.go.jp/security/vuln/appgoat/ • IPA(独立行政法人情報処理推進機構)が公開している開発者をターゲッ トとして公開されている脆弱性体験学習ツール • 実習形式で脆弱性の発見方法や対策の取り方を学習できる • ローカルPC上で演習を行うことを前提にした形式にて配布されている • 以下の二種類がある – ウェブアプリケーション版 – サーバ・デスクトップアプリケーション版
- 104. Metasploitable http://sourceforge.net/projects/metasploitable/files/Metasploitable2/ • MetasploitFrameworkによるペネトレーションテストのトレーニングやテス トに使用するための脆弱性が沢山盛り込まれているサーバシステム • Ubuntuベースで構築されたシステムで仮想イメージにて配布されている • 複数の脆弱性が存在サービスが起動しており、インフラ系の脆弱性診断 ツールなどの検証に最適
- 105. Webアプリ診断に関するドキュメント
- 106. 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html http://www.ipa.go.jp/files/000017316.pdf • IPA(独立行政法人 情報処理推進機構)には、脆弱性の届け出を受け 付けるシステムが存在し、届け出が多かった情報をもとに作成されてい る • 全部で3章構成となっており、それぞれで安全なウェブサイトを作るため の例が紹介されている – 第1章: ウェブアプリケーションのセキュリティ実装 – 第2章: ウェブサイトの安全性向上のための取り組み – 第3章: 失敗例
- 107. ウェブ健康診断仕様 http://www.ipa.go.jp/security/vuln/websecurity.html https://www.ipa.go.jp/files/000017319.pdf • 地方公共団体が運営するウェブサイトの改ざん防止等を目的として作成 された • 具体的な診断仕様が取り上げられており、「基本的な対策」ができてい るかを診断するもの – この診断仕様に記されている検査パターンは絞り込まれたものであ るため、脆弱性が存在しないことを約束するものではありません。 • 診断仕様 – 各脆弱性の危険度、総合判定基準 – 診断項目毎の検出パターン(目安)、判定基準、対象画面
- 109. Webシステム/Webアプリケーション要件書 https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf • OWASP Japanのプロジェクトとして公開された安全なWebアプリケーショ ンの開発に必要なセキュリティ要件記載された文書 • 開発時の要求仕様やRFP(提案依頼書)に盛り込むべき要件がまとめられ ている • 開発言語やフレームワークには依存しないで利用可能
- 110. セキュリティ情報の収集
- 111. IPA・ JPCERT/CCメーリングリスト IPA:独立行政法人情報処理推進機構 メールニュース http://www.ipa.go.jp/about/mail/index.html JPCERT/CCメーリングリスト https://www.jpcert.or.jp/announce.html • 緊急性の高いセキュリティ情報(重大な脆弱性、流行している攻撃やマル ウェア情報など)についての情報配信しているメーリングリスト
- 112. JVN:Japan Vulenability Notes https://jvn.jp/index.html • IPAとJPCERTが共同で運営する、日本で使用されているソフトウェアそ の他の脆弱性とその対策情報を提供するサイト • 発見された脆弱性の内容や対応状況、ユーザー側の対策をデータベー スから確認できる JVN iPedia 脆弱性対策情報データベース http://jvndb.jvn.jp/
- 113. piyolog http://d.hatena.ne.jp/Kango/ • 日々発生するセキュリティインシデントの情報を迅速かつ正確にまとめてい らっしゃる@piyokangoさんのサイト • セキュリティ業界の方々も情報源として注目して見ている • インシデント情報以外にも、緊急性の高い脆弱性についても、現時点で判 明している概要・影響範囲・他情報サイトへのリンクなどの情報を、かなり 早いタイミングにてまとめてくださっている非常に貴重なサイト
- 114. Twitterセキュリティネタまとめ http://twitmatome.bogus.jp/ • dailyでセキュリティ関連の気になったtweetをまとめてくれている @yousukezanさんのサイト • Twitter上の情報は速報性が高いため、流行っている話題などを追いか けたい方はこちらのまとめを参照するのが良い思われる • ちなみに@ITで一ヶ月単位での「まとめのまとめ」の記事も連載 「セキュリティクラスターまとめのまとめ」最新記事一覧 http://www.atmarkit.co.jp/ait/kw/matomematome.html