今回、Webサーバの脆弱性診断を行いました。
本格的なペネトレーションテストを情報セキュリティ調査会社に依頼すると(テスト自体に多額の費用がかかるので)対策が必要かどうかの評価を行いたいというのが、先方の目的です。
ペネトレーションテストを実施するとなると定期的な費用が発生するので「できれば対策を行いたくはない、けれども何かあってからでは困る」という内情がにじみ出ていました。
今回の評価方法
サーバがApacheでログファイルの採取が可能だったため、IPAのウェブサイトの攻撃兆候検出ツール iLogScannerを利用した脆弱性診断を行いました。
なお、iLogScannerは以下のファイルのチェックが可能です。
- アクセスログ
- IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
- IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
- Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)
- エラーログ
- Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
- Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
- 認証ログ
- sshd(syslog)
- vsftpd(vsftpd形式、wu-ftpd形式)
ex.結果例
検出対象脆弱性 | 攻撃があったと思われる件数 | その内、ModSecurityで検出・遮断した件数 | その内、攻撃が成功した可能性が高い件数 |
---|---|---|---|
SQLインジェクション | 80 | 0 | 0 |
OSコマンドインジェクション | 1 | 0 | - |
ディレクトリトラバーサル | 0 | 0 | - |
クロスサイトスクリプティング | 0 | 0 | - |
その他(IDS回避を目的とした攻撃) | 0 | - | - |
上記以外の分類(ModSecurity) | - | 0 | - |
なお、Lubtech では、信頼できるアプリケーションの開発・購入・運用の推進を目的として設立されたオープンなコミュニティ「The Open Web Application Security Project (OWASP) 」の資料「OWASP Top Ten Project」を参考にシステム開発を行っております。