2012年2月27日月曜日

[お勉強]ぴよぴよセキュアWebアプリ制作

プログラマは一年生。ちいさなことから一歩ずつ。
ということでセキュアなWebアプリ制作についてのお勉強ですよ。

学習内容はブログに書いてもいいよーって先生から
いわれたのでまとめる!!!

◇セキュリティ対策の重要性
セキュリティインシデントがおきると?

・復旧コスト
・社会的信用の低下
・株価の下落
・ユーザの流出
・ユーザへの賠償
・Pマークの取り消し/JIPDECに取り消し事業者名がさらされちゃう!!

などの被害が発生する => 対策しないと!!!

◇セキュリティインシデントの動向

従来:
OSやサービス(WEB、MAIL、DNSなど)を狙ってきたので
パッチ適応でなんとかできてた

現在:
Webアプリ、Webアプリの構成要素(DBとかDBとかDBの中身とか!)
が対象になってきたので別の対策が必要!!!


=>どうしてかわってきたの?

  •  WEBアプリは入り口(80番ポート)に制限がない
  •  攻撃が容易、成功率が高い、攻撃の検出が難しい
  •  被害が大きい(ので攻撃したがる)
  ☆WEBアプリは80番ボートの制限がないので攻撃が容易で成功しやすい!



=> どんな対策をすればいいの?

  • そもそもセキュアに作れよ(セキュアなアプリケーションの開発)
  • いまあるものはいっこずつ直すか〜(個別アプリケーションの改修)
  • 全体みなおさないとあかんね...(サイト全体の設計を改修)

◇WEBアプリケーションへの攻撃
(1)FW/IDSの穴
FWは万能じゃない!やつらふさいでないポートまではみてくれない。
頼りがいのあるあいつにも無力なときもあるんだぜ?Baby
☆80/443は開いているのが前提なのでFW/IDSはWEBアプリの攻撃には意味がない

(2)HTTPSの穴
HTTPSは万能じゃない。やつら暗号化が得意なだけだ。
通信内容そのものを監視してくれるわけじゃない。
あたまが良さそうに見えてぬけてるところもあるんだぜ?Baby。
☆HTTPSは通信経路を暗号化するだけで入力値による攻撃は防げない

わかったかい。お嬢ちゃん。
別の対策が必要なんだぜ?
うっかり攻撃されちゃったらこんなことまでされちゃうんだぜ。

・OSへの攻撃
・DBの不正使用 ->情報漏洩
   ・DBへの不正アクセス -> DB破壊

気をつけるんだぜ。お嬢ちゃん。
crackerは皆オオカミさ

。。。。。なんだこのノリ

◇脆弱制の統計

○IPA届出状況による脆弱制の統計

  1. XSS (43%)
  2. SQLインジェクション
  3. ファイルの誤った公開
  4. DNS情報の設定不備
  5. パス名パラメータの未チェック(ディレクトリトラバーサル)


○MBSDセキュリティ検査実績

  1. XSS(69%)
  2. 不十分なエラー処理
  3. クロスサイトリクエストフォージェリー(CSRF)
  4. 不要なファイル公開
  5. パラメータ操作に対する脆弱制

このあたりはざくっとながして
IPAは一般ユーザからの報告をもとにしているので
ユーザがみつけやすい脆弱制が上位にあがりやすい、
MBSDはMBSDが調査しているので内部的な内容が多い、って感じ。
個々の脆弱性の解説はあとからなので
今はこういう脆弱制があることぐらいを頭に入れておく程度に。
各脆弱性の種類は後ほど。

>>続くよ!














0 件のコメント:

コメントを投稿