ということでセキュアなWebアプリ制作についてのお勉強ですよ。
学習内容はブログに書いてもいいよーって先生から
いわれたのでまとめる!!!
◇セキュリティ対策の重要性
セキュリティインシデントがおきると?
・復旧コスト
・社会的信用の低下
・株価の下落
・ユーザの流出
・ユーザへの賠償
・Pマークの取り消し/JIPDECに取り消し事業者名がさらされちゃう!!
などの被害が発生する => 対策しないと!!!
◇セキュリティインシデントの動向
従来:
OSやサービス(WEB、MAIL、DNSなど)を狙ってきたので
パッチ適応でなんとかできてた
現在:
Webアプリ、Webアプリの構成要素(DBとかDBとかDBの中身とか!)
が対象になってきたので別の対策が必要!!!
=>どうしてかわってきたの?
- WEBアプリは入り口(80番ポート)に制限がない
- 攻撃が容易、成功率が高い、攻撃の検出が難しい
- 被害が大きい(ので攻撃したがる)
☆WEBアプリは80番ボートの制限がないので攻撃が容易で成功しやすい!
=> どんな対策をすればいいの?
- そもそもセキュアに作れよ(セキュアなアプリケーションの開発)
- いまあるものはいっこずつ直すか〜(個別アプリケーションの改修)
- 全体みなおさないとあかんね...(サイト全体の設計を改修)
◇WEBアプリケーションへの攻撃
(1)FW/IDSの穴
FWは万能じゃない!やつらふさいでないポートまではみてくれない。
頼りがいのあるあいつにも無力なときもあるんだぜ?Baby
☆80/443は開いているのが前提なのでFW/IDSはWEBアプリの攻撃には意味がない
(2)HTTPSの穴
HTTPSは万能じゃない。やつら暗号化が得意なだけだ。
通信内容そのものを監視してくれるわけじゃない。
あたまが良さそうに見えてぬけてるところもあるんだぜ?Baby。
☆HTTPSは通信経路を暗号化するだけで入力値による攻撃は防げない
わかったかい。お嬢ちゃん。
別の対策が必要なんだぜ?
うっかり攻撃されちゃったらこんなことまでされちゃうんだぜ。
・OSへの攻撃
・DBの不正使用 ->情報漏洩
・DBへの不正アクセス -> DB破壊
気をつけるんだぜ。お嬢ちゃん。
crackerは皆オオカミさ
。。。。。なんだこのノリ
◇脆弱制の統計
○IPA届出状況による脆弱制の統計
- XSS (43%)
- SQLインジェクション
- ファイルの誤った公開
- DNS情報の設定不備
- パス名パラメータの未チェック(ディレクトリトラバーサル)
○MBSDセキュリティ検査実績
- XSS(69%)
- 不十分なエラー処理
- クロスサイトリクエストフォージェリー(CSRF)
- 不要なファイル公開
- パラメータ操作に対する脆弱制
このあたりはざくっとながして
IPAは一般ユーザからの報告をもとにしているので
ユーザがみつけやすい脆弱制が上位にあがりやすい、
MBSDはMBSDが調査しているので内部的な内容が多い、って感じ。
個々の脆弱性の解説はあとからなので
今はこういう脆弱制があることぐらいを頭に入れておく程度に。
各脆弱性の種類は後ほど。
>>続くよ!
0 件のコメント:
コメントを投稿