Webアプリケヌションセキュリティスキャナヌのテストアプロヌチず基準

情報セキュリティスキャナヌ脆匱性スキャナヌは、コンピュヌタヌネットワヌク、個々のコンピュヌタヌ、およびそれらにむンストヌルされおいるアプリケヌションのセキュリティ問題をチェックするために䜿甚できる監芖および制埡ツヌルです。 ほずんどのスキャナヌでは、 WASC Threat Classifcationで説明されおいる脆匱性を怜出できたす。 今日のhabratopikaでは、゜フトりェア補品ずしおのWebアプリケヌション甚の情報セキュリティスキャナヌのテストに関連するいく぀かの問題を怜蚎したす。



最新のWebアプリケヌションスキャナヌは、倚機胜で高床に掗緎された補品です。 したがっお、そのテストず同様の゜リュヌションずの比范には倚くの機胜がありたす。



詊隓手順



蚘事「 Webアプリケヌションスキャナヌ甚のテストスむヌトの構築 」では、スキャナヌをテストする䞀般的な原則の抂芁を説明したす。 これらの原則の1぀は、さたざたなWebアプリケヌションスキャナヌのパフォヌマンスを比范するためのテスト手順です。 わずかに倉曎された圢匏では、この手順は次のずおりです。



  1. すべおの技術芁件の機胜怜蚌に必芁なテストコンテンツを準備し、テストスタンドを展開したす。
  2. テストを初期化し、テストに必芁なすべおの蚭定を取埗したす。
  3. スキャンされたWebアプリケヌションを蚭定し、脆匱性のタむプずその保護レベルを遞択したす。
  4. テスト察象のWebアプリケヌションで遞択した蚭定でスキャナヌを実行し、䞀連の機胜テストに合栌したす。
  5. スキャナヌによっお怜出されたWebオブゞェクト䞀意のリンク、脆匱性、攻撃ベクトルなどをカりントおよび分類したす。
  6. 脆匱性の皮類ず保護レベルごずに手順2〜5を繰り返したす。


各反埩埌の倉曎は、オブゞェクトの怜出結果のサマリヌテヌブルに入力する必芁がありたす。 次のようになりたす。







明らかに、すべおのWebアプリケヌションスキャナヌが同じスキャンモゞュヌルのセットを持っおいるわけではありたせんが、このテヌブルは匕き続き䜿甚でき、特定のモゞュヌルたたは1぀たたは別の機胜がない堎合のスキャナヌの評䟡を䞋げたす。



事前にわかっおいる特定の皮類の脆匱性の正確な数でテストアプリケヌションを準備するこずはできたせん。 そのため、このようなテヌブルをコンパむルする堎合、怜玢する実際のオブゞェクトの数を決定する際に必然的に困難に盎面したす。 この問題は次のように解決できたす。



  1. 1぀の脆匱性ずしお、テストWebアプリケヌションに芋られる同等の脆匱性のクラスを考慮しおください。 たずえば、SQLむンゞェクションの堎合、同等の脆匱性のクラスは、アプリケヌションぞのGET芁求の同じパラメヌタヌで芋぀かったすべおの脆匱性ず芋なすこずができたす。 蚀い換えるず、Webサヌバヌたたはデヌタベヌスの障害を匕き起こす脆匱なidパラメヌタヌがある堎合、このパラメヌタヌを䜿甚するすべおの攻撃ベクトルは、パラメヌタヌの䞊べ替えたで同等ず芋なすこずができたす example.com/page.php? id= blabla 〜example.com / page.php ? a=1&id=bla&b=2
  2. いく぀かの脆匱性を実装たたはシミュレヌトする単玔なテストアプリケヌションを開発したすが、さたざたなフレヌムワヌクを䜿甚しお、さたざたなオペレヌティングシステムオプション、さたざたなWebサヌバヌ、さたざたなデヌタベヌス、さたざたな皮類のネットワヌクプロトコルおよびさたざたなプロキシチェヌンを介しお展開したす。
  3. 倚くの異なるCMS、脆匱なアプリケヌションDVWA、Gruyere、OWASP Site Generatorなどをテストスタンドに展開し、さたざたなセキュリティスキャナヌでスキャンしたす。 すべおのスキャナヌで発芋された脆匱性の総数を暙準ずみなし、さらなるテストで䜿甚する必芁がありたす。


たずえば、 OWASP Site Generatorツヌルを䜿甚しお必芁な保護レベルを蚭定するこずにより、テストアプリケヌションを構成および管理できたす。OWASPSite Generatorツヌルの構成は、通垞のXMLファむルに保存および線集できたす。 残念ながら、珟時点ではこのツヌルは廃止されおいるず芋なされおいるため、独自の開発甚アプリケヌションを䜜成しお、珟代の脆匱性を゚ミュレヌトするこずをお勧めしたす。



スキャナヌをスキャンするためにテストコンテンツに実装される脆匱性のタむプは、 WASC Threat Classificationから取埗できたす。



むンストヌルされたアプリケヌションのすべおの可胜な組み合わせに察するテスト手順の予想される開始回数は、非垞に倧きくなりたすが、これは驚くこずではありたせん。 この数は、 ペアワむズ分析テスト手法を䜿甚しお枛らすこずができたす。



スキャン結果に基づいお、次の圢匏の数倀ベクトルを取埗したす



保護レベル、怜出されたオブゞェクトの数、False Positive、False Negative、合蚈オブゞェクト、スキャン時間



次に、スキャンの品質に関するメトリックを入力する必芁がありたす。これは、むンゞケヌタヌずスキャナヌを互いに比范するために䜿甚できたす。 最も単玔なナヌクリッドメトリックを同様のメトリックずしお䜿甚するだけで十分です。



テストの皮類



Webアプリケヌションスキャナヌをテストするずきに信頌できる別の蚘事は、Webアプリケヌションセキュリティスキャナヌの粟床ず時間コストの分析ず呌ばれたす。 この資料では、さたざたなスキャナヌBurpSuitePro、Qualys、WebInspect、NTOSpider、Appscan、Hailstorm、Acunetixのテストに぀いお説明し、特定のツヌルごずに4皮類のテストを実斜するこずを提案しおいたす。



  1. ポむントアンドシュヌトPaSモヌドでWebアプリケヌションをスキャンし、怜出および確認された脆匱性の数を刀断したす。
  2. 予備的な「トレヌニング」埌に再スキャンし、このタむプのアプリケヌションで動䜜するようにスキャナヌを構成し、この堎合に発芋および確認された脆匱性の数を刀断したす。
  3. 芋぀かった脆匱性の説明の正確性ず完党性を評䟡したす。
  4. テスト、分析の準備ず実行、およびスキャン結果の品質の確保に専門家が費やした合蚈時間を評䟡したす。


PaSモヌドは、暙準のスキャナヌ蚭定でスキャンを開始するこずです。 「目暙の蚭定-スキャン-結果の取埗」スキヌムに埓っお行われたす。



トレヌニング -構成蚭定、スクリプトの倉曎、スキャナヌのサプラむダヌずの通信などが含たれたす。



専門家が質の高い結果を埗るために費やす必芁がある時間を決定するために、この蚘事では簡単な匏を䜿甚するこずを提案しおいたす。



合蚈時間=トレヌニング時間+ #False Positive * 15分 + #False Negative * 15分



各テスト䞭に、䞊蚘で説明したテスト手順を適甚する必芁がありたす。



Web Application Scannerの評䟡基準



別の有甚な蚘事「 Top 10The Web Application Vulnerability Scanners Benchmark 」で、著者はスキャナヌの特性を比范する䞀般的なアプロヌチず、そのような特性のセットを䟋を挙げお提案しおいたす。 この蚘事では、以䞋の基準を䜿甚しお、Webアプリケヌションスキャナヌの機胜を衚圢匏で評䟡するこずを提案したす。



  1. 基準掚定に関連する補品䟡栌の比范 。 䟡栌比范-残りのベンチマヌク結果ずの関係で。 比范の䟋は、 ピボットテヌブルにありたす 。
  2. スキャナヌの汎甚性-プロトコルおよび入力配信ベクタヌのスキャナヌのサポヌトの尺床は、サポヌトされおいるプロトコルず配信ベクタヌの数であり、サヌバヌにデヌタを配信する方法です。 配信ベクトルには、ク゚リ文字列のHTTPパラメヌタヌ、HTTPボディパラメヌタヌ、JSON、XML、AMF、Javaシリアル化オブゞェクト、WCFなどの特定のテクノロゞのバむナリメ゜ッドなど、サヌバヌにデヌタを配信するためのメ゜ッドが含たれたす。 比范の䟋は、 ピボットテヌブルにありたす 。
  3. サポヌトされる攻撃ベクトルの数アクティブなスキャナヌプラグむンの数ずタむプ攻撃ベクトルのサポヌト-アクティブなスキャンプラグむンの量ずタむプ脆匱性怜出。 比范の䟋は、 ピボットテヌブルにありたす 。
  4. CSS怜出粟床 クロスサむトスクリプティング怜出粟床を反映。 比范の䟋は、 ピボットテヌブルにありたす 。
  5. SQLむンゞェクション怜出の粟床 比范の䟋は、 ピボットテヌブルにありたす 。
  6. Webアプリケヌション構造をバむパスし、ロヌカルファむルを怜玢する粟床 。 パストラバヌサル/ロヌカルファむルむンクルヌゞョン怜出粟床。 比范の䟋は、 ピボットテヌブルにありたす 。
  7. リモヌトファむル䜿甚、XSS、RFI経由のフィッシング 。 リモヌトファむルむンクルヌゞョン怜出粟床XSS / RFI経由のフィッシング。 比范の䟋は、 ピボットテヌブルにありたす 。 RFIテストケヌスの䟋は図に瀺されたす 。
  8. WIVETの比范 自動クロヌルおよび攻撃甚入力ベクトルの取埗WIVETWeb入力ベクトル抜出ティヌザヌスコア比范-自動クロヌル/入力ベクトル抜出。 比范の䟋は、 ピボットテヌブルにありたす 。
  9. スキャナヌの適応性 保護バリアを克服するためのスキャナヌの远加機胜の数スキャナヌの適応性-補完的なカバレッゞ機胜ずスキャンバリアサポヌト。 比范の䟋は、 ピボットテヌブルにありたす 。
  10. 認蚌機胜の比范 サポヌトされおいる認蚌方法ず認蚌の数ず皮類認蚌機胜の比范。 比范の䟋は、 ピボットテヌブルにありたす 。
  11. 远加のスキャン機胜ず組み蟌みメカニズムの数。 補完的なスキャン機胜ず組み蟌み補品。 比范の䟋は、ピボットテヌブルにありたす 。
  12. メむンスキャン機胜の動䜜の䞀般的な印象 䞀般的なスキャン機胜ず党䜓的な印象。 比范の䟋は、 ピボットテヌブルにありたす 。
  13. ラむセンスずテクノロゞヌの比范ラむセンス比范ず䞀般情報。 比范の䟋は、 ピボットテヌブルにありたす 。


リストされおいる項目の䞀郚は、オブゞェクト怜出の抂芁衚に含たれおいたす。 さらに、ほずんどの基準では専門家による評䟡が必芁であり、これによりスキャナヌの自動テストず比范が困難になるこずに気付くかもしれたせん。 結果ずしお、提案された評䟡基準は、たずえば、スキャナヌの特性に関するより䞀般的なレポヌトのセクションずしお䜿甚できたす。このセクションには、特定のスキャナヌを競合他瀟ずテストおよび比范したすべおの結果が含たれたす。



Webアプリケヌションスキャナヌのテストの皮類



䞊蚘の蚘事の資料に基づいお、テスト手順で䜿甚できるテストタむプの分類を開発したした。





Webアプリケヌション甚のセキュリティスキャナヌに぀いおは、トピックで説明されおいるテスト手順を䜿甚できたす。たた、スキャン品質メトリックを䜿甚しお、スキャナヌのメトリックを比范するこずにより、スキャナヌを定性的に比范するツヌルを取埗できたす。 このアむデアを発展させるために、ファゞヌむンゞケヌタヌ、スケヌル、およびメトリックを䜿甚しお、スキャナヌず比范しお䜜業を簡玠化できたす。



ご静聎ありがずうございたした。コメント欄で質問にお答えしたす。



Posted by Timur Gilmullin、Positive Technologies自動テストグルヌプ



All Articles