OWASP テスティングガイド
11.05.2014 Views
Share Embed Flag

OWASP テスティングガイド

OWASP テスティングガイド

OWASP テスティングガイド

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
owasp.org

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

となります。それは 全 てのヤーゴー 側 で 認 識 できるものです(ですが、 通 常 私 たちは 使 用 のデザソラ 証 明 書 の 信 頼 ムデラ<br />

ついて、 深 く 調 査 したりはしないでしょう'。<br />

b) 証 明 書 は 有 効 期 間 をもっていますので、いつかは 期 限 を 迎 えます。 有 効 期 限 が 切 れた 証 明 書 の 場 合 、やはりブョウゴに<br />

よって 警 告 画 面 が 表 示 されます。 公 開 しているコービシには、 有 効 期 限 がある 証 明 書 が 必 要 です。さもなければ、 一 旦 私 た<br />

ちが 信 頼 した 認 証 局 から 発 行 された 証 明 書 を 持 つが、その 有 効 期 間 の 更 新 をせず 期 限 切 れを 迎 えてしまったコーバに 対<br />

して、 情 報 の 機 密 性 を 守 るためのスカャアな 通 信 を 確 立 しなければならない、ということになります。<br />

c) もし 証 明 書 に 記 載 された 名 前 と 実 際 のコーバ 名 が 一 致 しない 場 合 、どういう 事 になるでしょうか?= 仮 にこのような 事 象 が<br />

起 きたのであれば、 疑 念 を 持 たざるを 得 ないでしょう。ただ、 考 えられる 原 因 がいくつかあるため、それほど 不 思 議 なことでも<br />

ありません。サシテマが 名 前 プーシの 仮 想 ベシトを 立 ち 上 げている 場 合 、いずれも 同 一 の IP アドリシを 共 有 し、HTTP1.1 の<br />

Host ブッゾの 値 によって 識 別 されることになります。このようなクーシでは、HTTP ヨキウシトが 行 わわれる 前 に SSL のハヱドサェ<br />

ーキにおいて 検 証 されるのですが、その 時 点 では 異 なる 証 明 書 をそれぞれの 仮 想 ベシトに 割 り 当 てることはできません。し<br />

かし 証 明 書 に 記 載 された 名 前 と 実 際 のコイト 名 が 異 なっていたとしても、ブョウゴが 出 す 警 告 画 面 によってヤーゴが 認 知 で<br />

きる 仕 組 みになっているため、そこで 確 認 すればいいのです。このような 状牮 態 を 回 避遪 するためには、 名 前 プーシではなく IP<br />

プーシの 仮 想 ベシトを 立 ち 上 げなくてはなりません。[2] や[3]の 資 料 では、この 問 題 を 取 扱 う 方 法 、 名 前 プーシの 仮 想 ベシト<br />

が 適遚 切 に 紐 付 けられるための 技 術 立 ち 上 げる 方 法 について 説 明 しています。<br />

ブラチクボチクステステとその 事 例<br />

アプヨクーサュヱに 利 用 されている 証 明 書 の 有 効 性 を 検 証 しましょう。もし 証 明 書 の 有 効 期 限 が 切 れていたり、 信 頼 されない<br />

認 証 局 から 発 行 されている 場 合 、 紐 付 けられるはずのコイト 名 が 証 明 書 記 載 の 名 前 と 異 なっている 場 合 、いずれについて<br />

もブョウゴが 警 告 画 面 を 表 示 するようになっています。https のコイトを 利 用 する 際 、ブョウゴ 右 下 に 表 示 された 鍵 ボーキを<br />

キヨッキすることで、 証 明 書 に 関 する 情 報 を 見 ることができます( 発 行 元 、 有 効 期 間 、 利 用 暗 号 の 特牐 性 など'。<br />

アプヨクーサュヱにキョイアヱト 証 明 書 を 用 いている 場 合 、アキスシするためにその 証 明 書 をイヱホートしたはずです。 証 明<br />

書 情 報 はイヱシトーラされた 証 明 書 のヨシト 内 にその 証 明 書 に 関 連連 する 証 明 書 を 特牐 定 することにより、ブョウゴ 上 で 有 効 に<br />

なります。<br />

これらの 検 証 は、アプヨクーサュヱが 使 用 する SSL コービシすべてにおいて 実 施 されなければなりません。 一 般 的 に 利 用 さ<br />

れる https コービシはホート 443 番 ですが、 他 にも 導 入 時 における 設 定 不 備 の 問 題 や、ウェブアプヨクーサュヱの 基 盤 によ<br />

って 影 響 する https のコービシ(ホートが 開 放 した 状牮 態 の https による 管 理 者 専 用 コービシや、 特牐 殊 なホート 上 で 稼 働 して<br />

いる https コービシなど'が 存 在 している 可 能 性 もあります。このため、 発 見 された SSL プーシのホートは、この 検 証 を 実 施<br />

するようにしましょう。 例 えば、nmap では、SSL の 実 装 を 識 別 するシカメヱムード(-sV をケボヱドョイヱ 上 に 設 定 します'があ<br />

ります。Nessus 脆 弱 性 シカメナーでは、すべて SSL プーシのコービシについて SSL の 検 証 を 実 施 する 機 能 を 持 っています。<br />

例<br />

想 像 のお 話 よりも、 証 明 書 上 の 名 前 が https のコイト 名 と 一 致 しない 場 合 がどれほど 頻 繁 に 警 告 として 表 示 されるものなの<br />

かを 実 際 見 てもらうため、 匿 名 による 実 例 を 用 いてみました。 以 下 のシキヨーヱサュットは、 著 名 な IT 会 社 の 支 部邪 のコイトで<br />

す。Microsoft の Internet Explorer から 警 告 画 面 が 表 示 されています。 私 たちは“.it”のコイトにアキスシしていますが、 使 用<br />

されている 証 明 書 には、“.com”のコイトになっているのが 分 かります。ブョウゴの Internet Explorer は、コイト 名 と 証 明 書 上<br />

の 名 前 が 一 致 しないことによる 警 告 画 面 を 表 示 しています。<br />

88

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!