Webサイトのセキュリティチェック

今回、Webサーバの脆弱性診断を行いました。

本格的なペネトレーションテストを情報セキュリティ調査会社に依頼すると(テスト自体に多額の費用がかかるので)対策が必要かどうかの評価を行いたいというのが、先方の目的です。
ペネトレーションテストを実施するとなると定期的な費用が発生するので「できれば対策を行いたくはない、けれども何かあってからでは困る」という内情がにじみ出ていました。

今回の評価方法

サーバがApacheでログファイルの採取が可能だったため、IPAのウェブサイトの攻撃兆候検出ツール iLogScannerを利用した脆弱性診断を行いました。

なお、iLogScannerは以下のファイルのチェックが可能です。

  • アクセスログ
    • IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
    • IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
    • Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)
  • エラーログ
    • Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
    • Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
  • 認証ログ
    • sshd(syslog)
    • vsftpd(vsftpd形式、wu-ftpd形式)

ex.結果例

検出対象脆弱性 攻撃があったと思われる件数 その内、ModSecurityで検出・遮断した件数 その内、攻撃が成功した可能性が高い件数
SQLインジェクション 80 0 0
OSコマンドインジェクション 1 0 -
ディレクトリトラバーサル 0 0 -
クロスサイトスクリプティング 0 0 -
その他(IDS回避を目的とした攻撃) 0 - -
上記以外の分類(ModSecurity) - 0 -

なお、Lubtech では、信頼できるアプリケーションの開発・購入・運用の推進を目的として設立されたオープンなコミュニティ「The Open Web Application Security Project (OWASP) 」の資料「OWASP Top Ten Project」を参考にシステム開発を行っております。