20170208 総関西サイバーセキュリティLT大会(第1回)で発表した内容です。 [Connpass]総関西サイバーセキュリティLT大会 https://sec-kansai.connpass.com/ 内容は「Web脆弱性診断サービス」についてです。 ■見積もり箇所をしっかり診断している 良いサービスは「見積り箇所をしっかり診断できているサービスを選ぶ」 当たり前じゃないかと思いますが、診断中に診断方法が悩ましい箇所って結構あるんです。 そういった箇所への診断アプローチ方法がしっかりしていることが大切だと思います。 ■見積り時にアクセス出来た画面がエラー画面になっている 診断が大変というよりも手間がかかる箇所です。 普通は診断中にベンダーから「エラーになってます」と質問をすると思います。 マニュアルの診断なら確認するところですが、自動ツール診断だと見逃してしまう可能性もあるのでは! 見逃されれば、本来の診断したかった箇所は診断できずに終わってしまう!? ■ログインユーザが一度しか実行できないような機能がある 一度してしまうとエラーになってしまう。診断が大変ですね。 一度しかできない制限を外してもらうことは難しいならば、 複数ユーザを時準備して最低限の診断をするしかない。 送信するパラメータの役割も判断したいの! どうやって脆弱性の検証を絞ればいいのか。 ■自動診断ツール診断できない項目や機能がある!? 自動診断ツールでは「権限に関する脆弱性」「退会機能」「CAPTCHA画像が存在する機能」などなど 退会機能の場合、機能を実行するごとに新規会員登録を実施して新規ユーザで診断を継続するようにマルチステップを組むという方法もあるが、 新規会員登録をメールに記載されたURL経由で行う場合、ツールはメールに記載されたURLを自動で取得できないため診断できない。 また、このようなマルチステップを組むとリクエスト数も増加するため診断時間が長くなる。 見積り内容を確認して「ここは出来ませんよ。」と確認できればいいですが、 自動診断なので見積もりで言われた通り設定してスキャンを流せば、気が付かないかもしれないですね。 ■まとめ 現在、私たち診断メンバはお客様とのヒアリングの充実度に力を入れています。 事前チェックシートやヒアリングシートには、 実際にめんどうな問題が起こってしまう前にできるだけ対応できるような質問項目を追加しています。 また、チェックシートやヒアリングシートが膨れ上がるとお客様の負担も重たくなるため、 さらに診断員が直接ヒ