特集
» 2008年08月14日 12時52分 公開

Programing Bible:ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール (2/2)

[Keith-Winston,Open Tech Press]
SourceForge.JP Magazine
前のページへ 1|2       

出力されるリポート

 HTML形式のセキュリティリポートはログファイルを処理することで作成されるが、この操作については同梱されているシェルスクリプトを用いて、後記のようなコマンドを実行すればいい。

$ ./ratproxy-report.sh ratlog.txt > report.html


 この実行例の場合、検出された問題点は、種類と重要度に応じて並べ替えられた状態でreport.htmlファイルに出力される。今回わたしが最初に試験したのは、拠出金管理用に作成したRuby on Railsアプリケーションであった。このアプリケーションについてratproxyが検出した最大の脅威は“POST query with no XSRF protection”という問題点であり、これは当該アプリケーションにて特定情報のアップデート時にクロスサイトでのリクエスト偽造が行われる危険性を指摘したものである。この問題についてはわたし自身がいろいろ検討した結果、当該情報のアップデートはHTTP POSTを介してのみ実行可能とできるため、その脅威度はそれほど高くないと判断した。それでもアップデート後の情報については、第三者による確認と検討を必須とするようにしておくべきだろう。

 またAJAXフォームを使用するページについてratproxyは“MIME type mismatch on renderable file”という中程度の脅威を検出している。そのほかにリポートされたのは、当該アプリケーション内部で処理されるため、外部からは確認しづらい問題点についての各種メッセージである。

 セキュリティ関連の各リポートには、当該トランザクションに関する生データを収録したトレースファイルへのリンクが設けられており、各トレースファイルにはHTTPのリクエストとレスポンスに関係する、クッキー、ヘッダ情報、パラメータ、ペイロードなどの詳細情報がプレインテキスト形式で収められている。こうしたトレースファイルの情報は、ブラウザとサーバ間で具体的に何が行われているかを確認する際に便利だ。特にこの情報は、TCPダンプ並の詳細な内容が可読性に優れた形で出力されるようになっている。

GeeklogおよびGoogleに対する試験結果

 2つ目の試験対象としたのはPHPベースのGeeklogコンテンツ管理システムである。Geeklogはセキュリティに関する定評を確保していたことが今回の選定理由の1つだが、わたし自身が自分のサイトで使用していたのでターゲットにしやすかったという理由も存在する。具体的な操作手順としては、自分のサイトでGeeklogにてログインした後、幾つかの管理作業を実行してみた。そしてその結果、脅威度の高い“POST query with no XSRF protection”が1件および“Suspicious parameter passing scheme”など中程度の脅威が何件かリポートされたのである。なお興味深いことに今回のリポートでは、脅威度の低い問題点として “References to external active content”というフラグがGoogle広告につけられていたものの、特に危険視すべき問題点は検出されなかった。

ratproxyが報告するリポート ratproxyが報告するリポート

 今回の最終試験としては、ratproxyでgoogle.comをポイントさせた後、自分のiGoogleホームページにログインしてウィジェットを幾つか追加するという作業を行ってみた。その際にはテーマの切り替えそのほかの設定変更も行ったが、これだけの操作で実に43個ものトレースファイルが生成され、それに伴い大量のリポートが報告されたのである。このリポートについては、その一部を抜き出したスクリーンショットを掲載しておいた。

 このiGoogle試験に関するセキュリティリポートを見ると、脅威度の高い問題が3件と、中程度の問題点が数件指摘されていた。なお今回の試験結果については、ratproxyでは提供企業の関連サイトであっても手心を加えない包括的な解析が実行されることに満足できたので、リポートの報告内容の解析も、各問題点の実際の脅威度も検討していない。

 現行のratproxyはβ版段階に止まっており、実際そのREADMEファイルには幾つかの問題点が誤検出される可能性に言及されている。とは言うものの、高度に複雑化した最近のWebアプリケーションに対してセキュリティ試験を施すのは簡単な話ではない。しかしながらratproxyを利用すれば最小限の手間と時間でそうした試験が実施でき、操作に必要な情報も分かりやすいドキュメントにまとめられている上、そこにはアプリケーションの安全度判定に役立つ各種Web監査ツールへのリンクも紹介されているのだ。これはわたしの個人的評価であるが、ratproxyは操作性に優れ安定して動作する有用なツールと評していいだろう。

前のページへ 1|2       

Copyright © 2010 OSDN Corporation, All Rights Reserved.

注目のテーマ

マーケット解説

- PR -