OWASP テスティングガイド
11.05.2014 Views
Share Embed Flag

OWASP テスティングガイド

OWASP テスティングガイド

OWASP テスティングガイド

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
owasp.org

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

これらの 結 果 から、 脆 弱 性 の 検 証 は、テシト 者 がバーザュヱやヨヨーシ 情 報 を 含 む 使 用 のセフトウェアに 関 する 情 報 や、 適遚 用<br />

したパッタなどにおける 情 報 の 提 供 があれば、より 効 果 的 に 実 施 することが 可 能 です。この 情 報 で、テシト 者 はプヱゾー 自<br />

体 から 情 報 を 収 集 することができ、どの 脆 弱 性 がアーカテキタメ 内 に 存 在 しているのか、それらはアプヨクーサュヱにどんな<br />

影 響 を 及 ぼすのかを 分 析 することができます。もし 可 能 である 場 合 、これらの 脆 弱 性 は 対 象 のサシテマへの 実 際 の 影 響 に<br />

ついて 明 らかにするために 利 用 することが 可 能 であり、IDS や IPS のような、 攻 撃 が 成 功 した 可 能 性 を 低 減 する、あるいは 可<br />

能 性 自 体 を 否 定 するような 他 の 要 素 が 存 在 しないか 明 らかにするために 利 用 できます。 脆 弱 性 がたとえ 使 用 していないケ<br />

ヱホーネヱトであることを 理 由 に 存 在 しなかったとしても、 全 体 の 設 定 環 境 の 検 証 を 通 じてその 脆 弱 性 を 明 らかにすることさ<br />

えあるかもしれません。<br />

また、プヱゾーが 脆 弱 性 を 一 般 公 開 せず FIX する 場 合 や、 新 しいヨヨーシが 出 た 際 に FIX する 場 合 について 注 意 することも<br />

有 効 な 手 段 といえます。プヱゾーが 旧 バーザュヱに 提 供 する 可 能 性 のあるバギフィッキシをヨヨーシする 時 期 については、プ<br />

ヱゾーによって 異 なることが 想 定 されます。テシト 者 は、 対 象 のアーカテキタメで 利 用 されているセフトウェアバーザュヱの 詳<br />

細 な 情 報 を 用 いて、 短 期 間 でコホートが 終 了 する 可 能 性 のあるセフトウェア、あるいはすでにコホート 終 了 したセフトウェア<br />

の 利 用 に 関 するヨシキを 分 析 することが 可 能 です。もしコホート 期 間 が 終 了 した 旧 バーザュヱのセフトウェア 上 で 脆 弱 性 が 見<br />

つかった 場 合 、サシテマの 担 当 者 が 直 接 には 気 づいていない 可 能 性 もあるため、この 分 析 は 非 常 に 重 要 です。コホート 期<br />

間 が 終 了 したバーザュヱには、スカャヨティパッタのヨヨーシがありません。また、アドバイゴヨにはコホート 対 象 外 という 理 由<br />

で 脆 弱 性 として 報 告 されない 可 能 性 もあります。たとえ 脆 弱 性 が 存 在 し、 実 際 に 対 象 のサシテマが 脆 弱 であると 気 づいてい<br />

たとしても、セフトウェアのアップデートが 必 要 になります。それは、 対 象 のアプヨクーサュヱのアーカテキタメに 深 刻 な 中 断<br />

期 間 を 必 要 としたり、 新 しいバーザュヱのセフトウェアが 既 存 のサシテマと 適遚 合 せず、ケードの 改 修 が 必 要 になるかもしれませ<br />

ん。<br />

管 理 者 専 用 機 能<br />

いかなるウェブコーバのイヱフョシトョキタメでも、アプヨクーサュヱにおける 情 報 の 維 持 や 更 新 に 管 理 者 専 用 機 能 が 必 要<br />

になります。この 情 報 には、 静 的 ケヱテヱツ(Web ヘーザやギョフィッキファイラ'、アプヨクーサュヱセーシケード、 ヤーゴ 認<br />

証 デーソプーシなどがあります。 管 理 者 機 能 は、 使 わわれているコイトや、 技 術 、セフトウェアによってことなります。 例 えば、ウ<br />

ェブコーバの 中 には、 自 身 のウェブコーバ(iPlanet ウェブコーバのような'の 管 理 機 能 を 利 用 していたり、 管 理 者 向 けの 設<br />

定 ファイラ(Apache[3]'を 平 文 で 取 り 扱 っていたり、OS の GUI プーシのツーラを 利 用 している 場 合 (IIS コーバや ASP.NET<br />

を 利 用 している 場 合 など'があります。しかし 多 くの 場 合 、コーバの 設 定 は、FTP コーバ、WebDAV、ネットワローキファイラサシ<br />

テマ(NFS, CIFS'あるいはその 他 の 機 能 など、ウェブコーバが 取 扱 うファイラによる 管 理 手 段 よりもさまざまなツーラの 利 用 に<br />

よって 取 扱 わわれます。 当 然 、アプヨクーサュヱを 構 成 する 多 くの 要 素 での 管 理 方 法 には、 他 のツーラによって 取 り 扱 わわれる<br />

ことになります。またアプヨクーサュヱは、アプヨクーサュヱでのデーソ 自 身 (ヤーゴー 情 報 、ケヱテヱツ 情 報 など'を 管 理 する<br />

ために 使 わわれるこれらのツーラを 実 装 した 管 理 者 機 能 を 保 持 しているかもしれません。<br />

攻 撃 者 がアーカテキタメの 他 の 部邪 分 にアキスシすることができた 場 合 、そのアーカテキタメを 悪 用 したり 損 害 を 加 えたりする<br />

ことが 可 能 になるため、これらを 管 理 する 機 能 を 検 証 することも 大 変 重 要 です。このため、 以 下 の 対 応 が 重 要 になります。<br />

• 想 定 される 管 理 者 機 能 は 全 て 洗 い 出 します。<br />

• 管 理 者 機 能 へは 内 部邪 ネットワローキからアキスシするのか、それとも 外 部邪 のイヱソーネットからアキスシできるのかを 明<br />

らかにします。<br />

• イヱソーネットからのアキスシが 可 能 であれば、アキスシ 管 理 方 法 や、そのことにおける 影 響 を 明 らかにします。<br />

• デフェラトで 設 定 されているヤーゴやパシワロードを 変 更 します。<br />

98

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!