目次:
ビデオ: ABC2018Spring 「Web アプリケーションフレームワークにおけるWeb開発の最適化」 2024
このケーススタディでは、よく知られているアプリケーションセキュリティ専門家、Caleb Simaが、クライアントのWebアプリケーション。セキュリティリスクを発見するこの例は、あなたの個人情報を保護するのに役立つ注意書きです。
状況
Simaは、よく知られている金融Webサイトのセキュリティを評価するためにWebアプリケーションの侵入テストを実行するために雇われました。主要な財務サイトのURLだけを備えているシマ氏は、他のサイトが組織に存在するかどうかを調べるために、まずGoogleを使用して可能性を検索しました。
<! - 1 - >Simaは最初、メインサーバーに対して自動スキャンを実行し、低掛けの果物を発見しました。このスキャンでは、Webサーバーのバージョン情報やその他の基本情報が提供されましたが、それ以上の調査がなければ有用とは限りませんでした。シマ氏はスキャンを実行していたが、IDSもファイアウォールも彼の活動に気づいていなかった。
Sima氏は最初のWebページでサーバーに要求を出し、興味深い情報が返されました。 Webアプリケーションは多くのパラメータを受け入れているように見えましたが、シマ氏はサイトを閲覧し続けていたので、URLのパラメータは変わらないことに気付きました。
<! - 2 - >Simaは、URL内のすべてのパラメータを削除して、クエリ時にサーバーが返す情報を確認することにしました。サーバーは、アプリケーション環境のタイプを説明するエラーメッセージで応答しました。
次に、Sima氏はアプリケーションに関するGoogleの検索を行い、詳細な文書を作成しました。 Sima氏は、この情報の中にアプリケーションの仕組みやデフォルトファイルが存在する可能性があることを示すいくつかの記事とテクニカルノートを見つけました。実際、サーバーにはこれらのデフォルトファイルがいくつかありました。
<! - 3 - >Simaはこの情報を使用してアプリケーションをさらに調査しました。彼はすぐに内部IPアドレスとアプリケーションが提供していたサービスを発見しました。 Sima氏が管理者のバージョンを正確に知るとすぐに、彼は他に何が見つかりましたかを知りたがっていました。
Simaは、カスタムスクリプトを制御するためにステートメント内に&文字を追加することによって、アプリケーションからURLを操作し続けました。この技術により、彼はすべてのソースコードファイルを取得することができました。 Sima氏は、VerifyLoginを含むいくつかの興味深いファイル名に注目しました。 htm、ApplicationDetail。 htm、CreditReport。 htm、およびChangePasswordが含まれます。 htm。
シマ氏は、特別な形式のURLをサーバーに発行して各ファイルに接続しようとしました。サーバーは、各要求に対して「ログインしていないユーザー」というメッセージを戻し、接続はイントラネットから行う必要があると述べました。
その結果
Simaは、ファイルがどこにあったかを知っていて、接続を盗聴してApplicationDetailを特定できました。 htmファイルはクッキー文字列を設定します。 URLの操作がほとんどないため、シマ氏は大当たりを襲った。このファイルは、新しい顧客アプリケーションが処理されているときにクライアント情報とクレジットカードを返しました。 CreditReport。 htmは、シマ氏に顧客の信用調査状況、詐欺情報、拒否された申請状況、その他の機密情報を表示することを許可しました。
レッスン:ハッカーは、Webアプリケーションを壊すために、さまざまな種類の情報を利用できます。このケーススタディの個々の悪用は軽微でしたが、組み合わせると深刻な脆弱性が生じました。
Caleb Simaは、Internet Security SystemsのX-Forceチームのチャーターメンバーであり、侵入テストチームの最初のメンバーでした。 Sima氏はSPI Dynamicsを共同設立し、後にHPに買収され、CTO、SPI Dynamicsのアプリケーションセキュリティ研究開発グループSPI Labsのディレクターに就任しました。
