close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 JUnit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 Wireshark パケットキャプチャ 管理職研修 部下育成 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 テスト技法 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail M5Stack DevSecOps プロジェクト成果 画像認識 チャットポット コマンド レビュー 基本用語 自動構築 LPIC-1 サーバーサイドJavascript キャリア形成 ワークライフバランス インバスケット テック用語 GitHub Windows エディタ 教養 令和時代 RESTful API 物理設計 会社規模300名以上 データモデリング サーバーサイドJava Webサーバー基礎 Webサーバー応用 Watson IBMWatson Learning Topics OS モバイル コンテスト トレーニング手法 アーキテクチャ 人材モデル インフラ CI/CD Infrastructure as a Code チーム開発 制度づくり Special_Intro AI市場分析 研修ロードマップ 仕事術 デジタルトランスフォーメーション 財務分析手法 情報整理 PowerPoint 新しい研修 オンライン研修 見どころ紹介 統計分析 ディープラーニング G検定 情報処理技術者試験 販売管理 C# テスト計画 Linuxサーバー WEBサーバ構築 http/2 Postfix イーサリアム プロジェクト・メンバ 正規化 パケット実験 作業分解 トラブル調査 ネットワーク設計 Windows server 2016 ネットワーク機器 DX 管理職 最新動向 ポストコロナ時代 IoTデバイス マイコンボード センサ サーバー仮想化 仮想ルータ WAN インターネットVPN 若手エンジニア ITプロジェクト 人事面談 DX人材育成 Java基礎 ZAP 脆弱性診断 NWサービス構築 イノベーション・マネジメント ネットワークセキュリティ ストレッチ Google Cloud Platform 不動産業界 テレワーク(WFH) ドリル GCP ( Google Cloud Platform ) システム業界 PMS テレワーク ビッグデータ NoSQL OWASP CentOS8 ネットワーク技術 データ分析 デザインシンキング 保険業界 会議リーダー システムエンジニア 段取り術 プロジェクト原論 文章書き換え術 ノーコード No Code MongoDB Redis Cassandra 運用管理 Windows10 仮想マシン リモートワーク 働き方 生産性 IPSec Office セキュリティマナー ソフトウェア・レビュー ライフハック 新しい働き方 エクササイズ ビジネスモデルキャンバス 状況認識 ストレス 必須コマンド Web 今日わかる きほん 状況把握 意思決定 心の健康 IT書籍 書籍紹介 営業マン 類推法 クラス プロセス指向 PdM 共用 ウェビナーレポート 地方創生 GraphQL CSS OWASP ZAP セキュリティマネジメント 問題解決 ソフトウェア 新技術 雑談力 テスト見積もり Scala Go Rust Relay Cloud AI Kaggle ITエンジニア フレッシャーズ 経営戦略 事業戦略 マインドフルネス 基本情報技術者試験 ニューノーマル プロジェクト会議 メソドロジ 講師インタビュー システム障害 販売管理システム VMware セキュリティ事例 ケーススタディ インターネット通信 ビジネスマン 品質向上 提案 ロジック図解術 バーチャルマシン 対策事例 アスリート 国の動向 アンチパターン リモートアクセス 脳ヨガ 自律神経 整え方 組み立て方 コミュニケーション術 リーダー 新人 知っておきたいこと 対人能力 洞察力 一文作成 サッカー業界 グループワーク マネジメント手法 IT業界 Octave セキュリティ管理 IT ネットワーク機器の特徴 ネットワーク機器の仕組み 基本のキ プレゼンテーションの組み立て方 伝え力 試験合格後 時短術 作成のコツ 導入事例 メンタルマネジメント メンタルヘルスケア DXプロジェクト プログラミング教育 プログラミング的思考 子供向けプログラミング データ定義言語 DDL モダンWebアプリケーション ドキュメント作成 Docker Compose Docker Hub AR VBAエキスパート試験 Azure メディア掲載 サーバーアーキテクチャ データ操作言語 DML NewSQL ソフトウェアセキュリティ 数学 VR アパレル業界 Kubernetes Power BI Android プロダクトオーナーシップ プロダクトオーナー 内製化 情報システム部門 Z世代 クラウドネイティブ 技術教育 Windows server 2019 XSS CSRF クリックジャッキング ビジネスパーソン VPC IAM AWS Fargete ECS 問題発見力 問題分析力編 Access 流通業界 金融業界 ネットワーク設定 トラブル対応 評価 ソフトウェア品質 クレーム対応 呼吸法 戦国武将 エンジニアリング 組織論 SpreadSheet GAS ゼロトラスト Express 3D

OWASP ZAP で Web アプリケーション セキュリティ対策|研修コースに参加してみた


2021-10-22 更新

今回参加したコースは OWASP ZAP で Web アプリケーション セキュリティ対策 です。

Web アプリケーションのセキュリティというと、 IPA が公開している「安全なウェブサイトの作り方」が有名ですね。このコースではそこでも紹介されている脆弱性を、実際に OWASP ZAP を使って発見し、修正まで一気通貫にやる、という実践的なコースでした。

それだけに受講者も多く、とても人気でした!

そして … OWASP ZAP スゴい!! 感動的にラクができて、しっかり脆弱性を発見・レポートしてくれて、しかもフリーソフトウェア! これは自作のアプリケーションでもやってみねば。

 

では、どのような内容だったのか、レポートします!

コース情報

想定している受講者 Java の基本的な実装が出来ること
受講目標
  • 脆弱性の種類と代表的な対策を理解する
  • OWASP ZAP を使用した脆弱性診断の手法を身につける

講師紹介

講師はテストやレビュー、 Git など開発プロセスに関連するコースでも登壇が多いクロノスさんです。今日は 藤丸 卓也 さんが登壇されました。


label藤丸さんの過去の登壇

JUnit ではじめる単体テスト入門 研修コースに参加してみた

Git 入門 研修コース に参加してみた

セキュリティと脆弱性

まずはセキュリティの重要性とセキュリティ被害の深刻さを軽くお話されたあと、早速、本題のソフトウェアの脆弱性の対策に入ります。

    脆弱性への対策は、大きく分けて 2 つ

  • 根本的対策:脆弱性が発生しないようにする実装
  • 保険的対策:脆弱性の影響を小さくする実装
    • 攻撃の可能性を減らす
    • 脆弱性を突かれる可能性を減らす
    • 被害範囲を減らす
    • 早い段階で被害を知る

根本的対策が一番よいのですが、対策漏れや未知の攻撃などの可能性があるので、保険的対策もあわせて講じたほうがいい、とのことでした。

ソフトウェアの脆弱性の種類と対策

ここからは具体的な脆弱性とその対策を解説いただきました。以下の 11 の脆弱性を紹介いただいたのですが、ここでは抜粋して紹介します。

  • XSS (クロスサイトスクリプティング)
  • SQL インジェクション
  • CSRF (クロスサイトリクエストフォージェリ)
  • OS コマンドインジェクション
  • ディレクトリトラバーサル (パストラバーサル)
  • セッションハイジャック
  • HTTP ヘッダインジェクション
  • メールヘッダインジェクション
  • クリックジャッキング
  • バッファオーバーフロー
  • アクセス制御不備

XSS(クロスサイトスクリプティング)

悪意のあるスクリプトを Web ページで実行されてしまう脆弱性です。例えば、掲示板のようなサイトで悪意のあるスクリプトを投稿し、他のユーザーが閲覧時にそのスクリプトが実行されるなど、様々な被害を受けます。


  • 影響
    • Web ページの改ざん
    • セッション情報の流出
  • 根本的対策
    • 出力要素のエスケープをする
      • <>& などを 「 &lt;」や「 &gt;」などに変換
    • ユーザーが入力する URL は http:// または https:// で始まる URL のみ許可する
      • a タグの href 属性などで JavaScript が実行できる
    • そのほか script タグを出力させない、 POST されたファイルを動的に読み込まない など
  • 保険的対策
    • 入力チェックを行う

CSRF (クロスサイトリクエストフォージェリ)

ユーザーが Web アプリケーションにログインを保持した状態で、罠サイトにアクセスし、ユーザーが意図しない悪意のあるリクエストを送信してしまう脆弱性です。

これにより例えば、 EC サイトで勝手に買い物をされてしまう、プロフィール情報などが変更されてしまうなどの被害を受けます。


  • 影響
    • 認証が必要な情報の取得
    • 認証が必要な処理の不正操作
  • 根本的対策
    • POST メソッドを利用し、トークンを発行する
      • リクエストを送る画面に hidden 属性で秘密のフレーズ(トークン)を付与
      • サーバー側ではリクエストに同じトークンが付与されていることを確認
    • 重要な処理の前にパスワードを再入力させる
    • Referer チェックをする
      • リクエストに Referer に URL を入れ許可されたものかどうかチェック
  • 保険的対策
    • 重要な処理を行った後にユーザーにメールを送信する

HTTP ヘッダインジェクション

罠サイトを訪問したユーザーに対して、レスポンスヘッダやボディを改ざんしてレスポンスすることで、リダイレクト先が変更されたり、別の cookie を設定されてしまう脆弱性です。

これにより例えば、ユーザは意図しないページが表示されたり、セッション ID が固定化され、セッションハイジャックされるなどの被害を受けます。


  • 影響
    • レスポンスボディの書き換え
    • 任意のクッキー発行
    • HTTP レスポンス分割攻撃によるキャッシュ汚染
  • 根本的対策
    • レスポンスヘッダを直接プログラムで書かずに API を使用する
  • 保険的対策
    • URL 内の改行コードをチェックする

クリックジャッキング

透明にした要素をクリックさせ、ユーザーが意図しないリクエストを送信させる脆弱性です。


  • 影響
    • 認証が必要な情報の取得
    • 認証が必要な処理の不正操作
  • 根本的対策
    • HTTP レスポンスヘッダに X-Frame-Options を設定する
      • 異なるオリジンからサイトを読み込まれることを防止
        設定値 表示範囲
        DENY 全ての Web ページでフレーム表示を禁止
        SAMEORIGIN 同一オリジンの Web ページのみフレーム表示を許可
        ALLOW-FROM (最新ブラウザで廃止) 指定したオリジンの Web ページのみフレーム表示を許可
        代替として Content-Security-Policy ヘッダに frame-ancestors を設定
    • 重要な処理の前にパスワードを再入力させる
  • 保険的対策
    • 重要な処理を行った後にユーザーにメールを送信する

“攻撃が巧妙になっている” と言われる通り、多くの脆弱性が紹介されましたが、サービスによってはなかなか対策するのが難しい、と思うようなものがありますね。ユーザ投稿型の CGM やフリマサイトはどうやって対策しているのでしょうか。

OWASP ZAP を使って脆弱性診断

脆弱性を一通り学んだところで、脆弱性の診断・発見して、修正する演習です。

今回は予め用意いただいたサンプルの(クロノスさん、ありがとうございます!!)脆弱性がある Web アプリケーションを題材に、以前のレポートでも登場した OWASP ZAP を使って脆弱性の発見を行います。

実演! OWASP ZAP を使った脆弱性診断 研修コースに参加してみた

機能や操作方法は上記の参加レポートでも紹介していますので、ここでは割愛します。

 

早速、今回のサンプルの Web アプリケーションを起動して、どんな機能があるのか、確認します。

  • ログイン

  • 書籍一覧と書籍情報の表示
  • ユーザ一覧とユーザ情報の表示

この Web アプリケーションを診断します。

脆弱性診断を開始

ログイン画面を対象に脆弱性診断を行います。

  1. OWASP ZAP から Firefox を起動

  2. http://localhost:8080 のみを対象にする

  3. 診断範囲を設定 (「コンテキストに含める」> 「 New Context 」)

  4. モードをプロテクトモードに設定
    • サンプルの Web アプリケーション以外に攻撃リクエストを送らないようにする

脆弱性の検出

さっそく診断結果を確認しましょう。

  • X-Frame-Options Header Not Set
  • Absence of Anti-CSRF Tokens
  • X-Content-Type-Options Header Missing

なお、アラートの前のフラグは脆弱性の強度を表しています。

脆弱性を修正

では、この脆弱性を修正していきましょう。

X-Frame-Options Header Not Set

クリックジャッキングへの対応がなされていないというアラートです。

先程の学んだ知識をもとに対策として、ログイン画面のレスポンスヘッダーを追加します。

codeLoginController.java
// 修正前
@GetMapping
public String show(@ModelAtrribute("loginForm")LoginForm loginForm) {

    // ログインページの表示
    return "login";
}

引数に HttpServletResponse クラスを追加し、 addHeader メソッドでヘッダを設定します。

@GetMapping
public String show(@ModelAtrribute("loginForm")LoginForm loginForm,
                   HttpServletResponse response) {
    // すべてのページで埋め込みを不許可
    response.addHeader("X-FRAME-OPTIONS", "DENY");

    // ログインページの表示
    return "login";
}

なお、 X-Frame-Options の値は基本的には「 SAMEORIGIN 」で問題ありません。ただし、同一オリジンのサイトでも XSS 等で書き換えされる危険性があるため、埋め込みの予定がなければ「 DENY 」を設定するほうが安全とのことでした。

 

OWASP ZAP のアラートを確認して、「 X-Frame-Options Header Not Set 」が消えたことを確認します。


Absence of Anti-CSRF Tokens

CSRF への対応ができていないというアラートです。

これも学んだ通り、対策としてログインフォームを表示するときに CSRF トークンを発行し、ログインフォームからの送信内容の中のトークンと照合します。

ログインフォームを修正

codeLoginForm.java
// CSRF トークンを保持する変数 csrf を追加
public class LoginForm {
    private String loginId;
    private String password;
    private String csrf;

csrf のゲッターとセッターを自動生成

   // Eclipse で自動生成
    public String getCsrf() {
        return csrf;
    }

    public void setCsrf(String csrf) {
        this.csrf = csrf;
    }

CSRF トークンを設定

codeLoginController.java
@GetMapping
public String show(@ModelAtrribute("loginForm")LoginForm loginForm,
                   HttpServletResponse response) {
    // CSRFトークンの設定
    String csrf = Csrf.getCsrfToken();
    session.setAttribute("csrf", csrf);
    loginForm.setCsrf(csrf);

    // すべてのページで埋め込みを不許可
    response.addHeader("X-FRAME-OPTIONS", "DENY");

    // ログインページの表示
    return "login";
}

リクエストにある CSRF トークンを照合する処理を追加

ログインフォームのリクエストを受け取る login メソッドで CSRF を照合します。なお、トークンがない or 異なる場合は、ログアウトするようにします。

@PostMapping
public String login(LoginForm loginForm,
                    RedirectAttributes redirectAttributes,
                    model model) {
    // CSRFチェック
    String csrf = (String)session.getAttribute("csrf");
    session.removeAttribute("cerf");
    if (csrf == null || !csrf.equals(loginForm.getCsrf())) {
        return "redirect:logout";
    }

HTML のフォームに CSRF トークンを追加

codelogin.html
<form class="login-form" action="login" method="post" th:object="${loginForm}">
  <!-- 中略 -->
  <input type="hidden" th:field="*{csrf}">
  <!-- 中略 -->
</form>

OWASP ZAP で CSRFトークンの名前を登録

OWASP ZAP でも CSRFトークン を検知するため、トークンの名前を登録します (これは実習環境ではあらかじめ登録されていました) 。


OWASP ZAP でアラートが消えるのを確認せず、残り一つをやっつけます。

X-Content-Type-Options Header Missing

レスポンスの内容を Content-Type を元に判定するようにする設定が出来てないというアラートです。

codeLoginController.java
@GetMapping
public String show(@ModelAtrribute("loginForm")LoginForm loginForm,
                   HttpServletResponse response) {
    // CSRF トークンの設定
    String csrf = Csrf.getCsrfToken();
    session.setAttribute("csrf", csrf);
    loginForm.setCsrf(csrf);

    // すべてのページで埋め込みを不許可
    response.addHeader("X-FRAME-OPTIONS", "DENY");

    // Content-Type から判断する
    response.addHeader("X-CONTENT-TYPE-OPTIONS", "NOSNIFF");

    // ログインページの表示
    return "login";
}

 

これで再診断してみると … 、 3 つのアラートがすべて消えました 👍👍👍


OWASP ZAP の動的スキャンによる脆弱性診断

これまではログイン画面のみでしたが、他の機能も動的にスキャンしてみます。ちなみに、これがスゴ過ぎのスゴでした!

  1. OWASP ZAP で一通りの操作を認識させる

  2. 強制ログインのためにユーザを追加

  3. 強制ログインモードに変更して動的スキャンを選択

  4. ユーザーを指定してスキャンを開始

スキャン結果から脆弱性レポート ( HTML 形式での出力も可能) を作成することができます。ここではブラウザでレポートを確認してみます。

全体レポート
詳細レポート

脆弱性の詳細まで追っかけられるので、どんな対策をすべきなのかもわかりやすいですね。

 

このレポートを確認したところで、このコースは修了しました。

まとめ

Web アプリケーションの主な 11 の脆弱性を学び、サンプルの Web アプリケーションをもとに OWASP ZAP を使って脆弱性を発見し、一気通貫に修正しました。

それにしても OWASP ZAP の自動診断はスゴい! 全画面のテストは E2E ばりに大変なのでとてもラクですね。 GitHub Actions などを使って CI でワークフローにも入れられそうです。

一方でトークンや cookie など認証機能はフレームワークがあれど、独自実装を入れがちで、しかも全機能に影響するので、紹介された 11 の脆弱性は症状とその対策を覚えおかないといけませんね。

Web アプリケーション開発に携わる方にはマストハブな脆弱性の知識と実践がわかるコースでした!

 


SEカレッジについて

label SEカレッジを詳しく知りたいという方はこちらから !!

SEcollege logo
SEカレッジ
IT専門の定額制研修 月額28,000円 ~/ 1社 で IT研修 制度を導入できます。
年間 670 コースをほぼ毎日開催中!!

午前免除 FAQ

タグ一覧