Webアプリケーションのセキュリティ監査方法

今日は、Webアプリケーション侵入テストの方法論についてお話します。 Webサイト監査の方法の1つは、BlackBox侵入テスト（BlackBox-「ブラックボックス」）です。このテストでは、専門家は調査の目的に関する公開情報のみを入手できます。



この方法は、商業的な利益のために、またはフーリガンの動機からウェブサイトをハッキングするように動機付けられた外部攻撃者のモデルを使用します。 通常、調査中のシステムについては、会社名とウェブサイトのアドレス以外は何もわかりません。 この記事の文脈では、攻撃者と五behavior星の両方の振る舞いを検討し、その正当性は監査クライアントによって確認されます。 監査の確認はさまざまな方法で行うことができます-監査の対象（および例外）を示す情報レターと、攻撃されたサイト上の直接の特別なマーカーの助けの両方。



サイトへの攻撃とIT / IS部門の従業員の行動の全体像を把握するには、後者を通知しないことを強くお勧めします。 これにより、顧客は従業員が情報セキュリティインシデントに対応する準備ができているかどうかを確認できます。



侵入テストの主な目的：

• Webサーバーアーキテクチャの分析とセキュリティ検証。
• Webアプリケーションに存在する可能性のあるすべての脆弱性の識別、評価、および（顧客と合意した）操作の試行。
• 攻撃ベクトルとリスク評価の説明。
• Webアプリケーションの情報セキュリティを改善するための推奨事項を提供します。

攻撃者の主な目的：

• 重要なデータへのアクセスを取得します。
• サイトを無効にします。
• 収益化/利益。

目標の相違にもかかわらず、攻撃者とペンテスターの方法のほとんどは同じです。 攻撃するとき、攻撃者は通常、道徳的および倫理的な基準を特に重要視せず、そのような攻撃は不可逆的な破壊的な結果につながる可能性があります。 監査中、正当なペンテスターはバックアップの可用性に同意し、破壊的な結果のリスクを最小限に抑えます（特に、顧客がテストベンチを展開する機会がある場合）。



攻撃者は通常、単純なものから複雑なものへと進みます。一般的なユーティリティやスキャナーを使用して明らかな脆弱性を特定し、特定された脆弱性を悪用しようとします。 並行して、悪意のあるファイルやリンクを配布してフィッシング攻撃を行うことができます。 主な目標は、最小限の労力で必要なデータを取得することです。



ペンテスターは、悪意のある添付ファイルを使用せずに、すべての可能な脆弱性と攻撃方法を処理します。 さらに、ビジネスプロセスおよびアプリケーションのビジネスロジックの操作を調査できます。



主な監査方法は、攻撃者のアクションに似ており、次のものが含まれます。

• 攻撃されたシステムに関する偵察と情報の収集：特別な検索クエリ（google dork）、従業員の住所の検出、ジョブサイトの会社プロファイル（使用されている技術を決定できる空席を使用）、検索エンジンキャッシュ内の情報の検索、ポートスキャン;
• サイトのセキュリティ機能の識別-IDS / IPS / AntiDDoS / WAFシステム。
• 一般的なユーティリティとスキャナーを使用してWebアプリケーションをスキャンする-有料プログラムと無料プログラムの両方でかなり幅広い選択肢があります。たとえば、w3af Webスキャナーなどです。
• ウェブサイトのディレクトリをスキャンして機密情報（ファイル、データベースのバックアップなど）を検索する-たとえば、dirbusterユーティリティ。
• 手動の脆弱性分析-プロキシツールを使用して、潜在的な脆弱性の要求が処理および分析されます。最も一般的なユーティリティの1つはBurpsuiteです。

これらの方法には、次の手順が含まれます。

• 受動的な情報収集;
• Web環境とプラットフォームの定義。
• CMSタイプ定義。
• ポートスキャン/バナーコレクション。
• 自動スキャン。
• データ分析;
• リソースのボトルネックの特定。
• 手動分析;
• 受信した情報の収集と分析。
• 攻撃ベクトルの分析。
• 受信したベクトルの確認;
• レポート作成。

たとえば、アクセスログを分析し、脆弱性や攻撃を迅速に排除する対策を実装することにより、顧客の担当者による異常なアクティビティを検出する瞬間は除外されないため、取得したベクトルは分析およびチェックされ、検出時間は固定されます。 見つかった承認フォームまたはサービスは、いわゆる ブルートフォース攻撃（パスワード推測）。



ペンテスターの場合、受信した情報の分析と最適化のために、データがDradisタイプのシステムに集約されます。 受信したデータに基づいて、脆弱性の詳細な説明、複数のベクトルで構成される攻撃シナリオ、リスク評価、およびそれらを排除するための推奨事項とともに、脆弱なサービスに分散したレポートが生成されます。



完全かつ責任ある監査によってのみ、顧客は自分のウェブサイトの情報セキュリティシステムの成熟度の最も現実的な状況を把握できます。