ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール:Programing Bible(2/2 ページ)
出力されるリポート
HTML形式のセキュリティリポートはログファイルを処理することで作成されるが、この操作については同梱されているシェルスクリプトを用いて、後記のようなコマンドを実行すればいい。
$ ./ratproxy-report.sh ratlog.txt > report.html
この実行例の場合、検出された問題点は、種類と重要度に応じて並べ替えられた状態でreport.htmlファイルに出力される。今回わたしが最初に試験したのは、拠出金管理用に作成したRuby on Railsアプリケーションであった。このアプリケーションについてratproxyが検出した最大の脅威は“POST query with no XSRF protection”という問題点であり、これは当該アプリケーションにて特定情報のアップデート時にクロスサイトでのリクエスト偽造が行われる危険性を指摘したものである。この問題についてはわたし自身がいろいろ検討した結果、当該情報のアップデートはHTTP POSTを介してのみ実行可能とできるため、その脅威度はそれほど高くないと判断した。それでもアップデート後の情報については、第三者による確認と検討を必須とするようにしておくべきだろう。
またAJAXフォームを使用するページについてratproxyは“MIME type mismatch on renderable file”という中程度の脅威を検出している。そのほかにリポートされたのは、当該アプリケーション内部で処理されるため、外部からは確認しづらい問題点についての各種メッセージである。
セキュリティ関連の各リポートには、当該トランザクションに関する生データを収録したトレースファイルへのリンクが設けられており、各トレースファイルにはHTTPのリクエストとレスポンスに関係する、クッキー、ヘッダ情報、パラメータ、ペイロードなどの詳細情報がプレインテキスト形式で収められている。こうしたトレースファイルの情報は、ブラウザとサーバ間で具体的に何が行われているかを確認する際に便利だ。特にこの情報は、TCPダンプ並の詳細な内容が可読性に優れた形で出力されるようになっている。
GeeklogおよびGoogleに対する試験結果
2つ目の試験対象としたのはPHPベースのGeeklogコンテンツ管理システムである。Geeklogはセキュリティに関する定評を確保していたことが今回の選定理由の1つだが、わたし自身が自分のサイトで使用していたのでターゲットにしやすかったという理由も存在する。具体的な操作手順としては、自分のサイトでGeeklogにてログインした後、幾つかの管理作業を実行してみた。そしてその結果、脅威度の高い“POST query with no XSRF protection”が1件および“Suspicious parameter passing scheme”など中程度の脅威が何件かリポートされたのである。なお興味深いことに今回のリポートでは、脅威度の低い問題点として “References to external active content”というフラグがGoogle広告につけられていたものの、特に危険視すべき問題点は検出されなかった。
今回の最終試験としては、ratproxyでgoogle.comをポイントさせた後、自分のiGoogleホームページにログインしてウィジェットを幾つか追加するという作業を行ってみた。その際にはテーマの切り替えそのほかの設定変更も行ったが、これだけの操作で実に43個ものトレースファイルが生成され、それに伴い大量のリポートが報告されたのである。このリポートについては、その一部を抜き出したスクリーンショットを掲載しておいた。
このiGoogle試験に関するセキュリティリポートを見ると、脅威度の高い問題が3件と、中程度の問題点が数件指摘されていた。なお今回の試験結果については、ratproxyでは提供企業の関連サイトであっても手心を加えない包括的な解析が実行されることに満足できたので、リポートの報告内容の解析も、各問題点の実際の脅威度も検討していない。
現行のratproxyはβ版段階に止まっており、実際そのREADMEファイルには幾つかの問題点が誤検出される可能性に言及されている。とは言うものの、高度に複雑化した最近のWebアプリケーションに対してセキュリティ試験を施すのは簡単な話ではない。しかしながらratproxyを利用すれば最小限の手間と時間でそうした試験が実施でき、操作に必要な情報も分かりやすいドキュメントにまとめられている上、そこにはアプリケーションの安全度判定に役立つ各種Web監査ツールへのリンクも紹介されているのだ。これはわたしの個人的評価であるが、ratproxyは操作性に優れ安定して動作する有用なツールと評していいだろう。
関連記事
Programing Bible:AppChecker――Linux Foundationからリリースされた新世代の開発支援ツール
Linux関連の開発作業で最も負担なのは、さまざまなディストリビューションの対応製品を際限なく準備しなくてはならない点である。この部分にメスを入れた開発支援ツール「AppChecker」がLinux Foundationからリリースされた。
「Webアプリはハッカーにとって格好の標的」――AppScanに注目集まる
Webアプリケーションの脆弱性は、既存のネットワークセキュリティでは防げない――「IBM Rational AppScan」のようにWebアプリケーション開発のライフサイクルに、セキュアなアプリケーションにするための仕組みを導入する効果は高い。- IBM、開発中のソフトウェアの欠陥を取り除く「バグチェッカー」を発表
IBMが、文章の文法をチェックする文法チェッカーのように、ソフトの開発コードを自動的にチェックするソフトを開発した。
Copyright © 2010 OSDN Corporation, All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。