2018年9月15日(土) 名古屋で開催したOWASP Day 758にて発表した「今夜わかるWebアプリケーション脆弱性診断」の資料です。
脆弱性診断士スキルマッププロジェクトの話やペネトレーションテスト(Penetration testing / Red Team)、SQLインジェクション、脆弱性診断の実施手順などを紹介しています。
9. 各各ラランンククのの詳詳細細
9
SSiillvveerr GGoolldd
対象者像 l 自社の Web アプリケーションの脆
弱性診断(受入れ検査)を行う方
l 脆弱性診断業務の従事を目指す方
(学生など)
l Web アプリケーションの脆弱性診断
(受入れ検査)を行う方
l 脆弱性診断をサービスとして提供する業
務に従事する方
業務と役割 l Gold ランクの者の指示の下、脆弱性
診断を行う
l 自社 IT システムの脆弱性診断を行
う
l 脆弱性診断業務を管理し、診断方針の決
定、作業指示の実施、診断結果の精査お
よび評価を行うことができる
l 脆弱性診断の報告書を作成し、技術的
な説明ができる
期待する
技術水準
l IT システムを診断する上で(最低
限)必要な技術や知識を保有
l 脆弱性診断サービスを提供するのに必要
十分な技術や知識を保有
33. OOWWAASSPP ZZAAPP 動動的的ススキキャャンンがが
検検出出すするる脆脆弱弱性性
• インジェクション
– CRLFインジェクション
• HTTPヘッダーインジェクション/HTTPレスポンス分割攻撃
• メールヘッダーインジェクションは検出しない
– Format String Error
• CWE-134: Use of Externally-Controlled Format String
• フォーマットストリングバグ
– Server Side Code Injection
• CWE-94:Improper Control of Generation of Code
(‘Code Injection’)
• コードインジェクション
– Server Side Include
• CWE-97: Improper Neutralization of Server-Side Includes
(SSI) Within a Web Page
• SSIインジェクション
– SQLインジェクション
– クロスサイトスクリプティング(反射型)
– クロスサイトスクリプティング(持続型)
• バッファオーバーフロー
– CWE-788: Access of Memory Location After End of
Buffer
• パラメータ改ざん
– CWE-472:External Control of Assumed-Immutable
Web Parameter
• リモートOSコマンドインジェクション
– コマンドインジェクション
• クライアント・ブラウザ
– セキュアページのブラウザキャッシュ
• サーバ・セキュリティ
– パストラバーサル
– リモートファイルインクルージョン
• 一般
– Script Active Scan Rules
• 動的スキャン用に作成されたスクリプトの実行
– 外部リダイレクト
• オープンリダイレクト
• 情報収集
– ディレクトリブラウジング
• CWE-548: Information Exposure Through Directory Listing
– ディレクトリリスティング
(C) 2018 Tricorder Co. Ltd. 33