F-Secure Radar Web Scan Recorderで画面遷移のスキャンをしてみた

2020.07.01

こんにちは、中川です。

F-Secure Radar は Web アプリケーションの脆弱性診断ツールです。

本エントリでは、F-Secure Radar Web Scan Recorder を使って、 F-Secure Radar の Web スキャンをやってみます。

F-Secure Radar Web Scan Recorder

F-Secure Radar Web Scan Recorder は、ログインやユーザーの行動をレコーディングするための、 Google Chrome の拡張機能です。 F-Secure Radar は、Web サイトのトップページを起点に自動クローリングして、診断対象のページを洗い出すことが可能ですが、中には自動クローリングで見つけられないページもあります。

例として、EC サイトで「商品をカート入れる→カートページに移動→配送先指定→確認画面確認→配送」のような画面を遷移すると、自動クローリングでは見つることができません。

このようにページに対しては、手動でユーザー行動の記録が必要となり、F-Secure Radar Web Scan Recorder を使って、レコーディングファイルを作成します。

なお、これまで F-Secure Radar で手動レコーディングするときは、Burp Suite を使用していましたが、現在は F-Secure Radar Web Scan Recorder を使うことが推奨となっています。

やってみた

前提

検証の環境にはEC2上にたてた WordPress を使います。

レコーディングファイルを作成

以下のURLから F-Secure Radar Web Scan Recorder をインストールします。

F-Secure Radar Web Scan Recorder

インストールした状態です。とくに設定する項目はなく、すぐに使えます。
今回はログインからレコーディングするため、 [Start authentication flow] をクリックします。

ログインページの URL が表示されていること確認し、[Next]をクリックします。

ログイン情報を入力し、WordPress の管理画面に接続します。

F-Secure Radar Web Scan Recorder を開き、ログインが記録されていることを確認したら、[Next] をクリックします。

ログインに成功したことを判定するため、フィンガープリントを設定します。WordPress のダッシュボードをクリックしてから F-Secure Radar Web Scan Recorder を開くと、ダッシュボードの要素を取れています。確認できたら、[Next] をクリックします。

続いて、手動のクローリングを行います。実際にユーザーが行う操作をしてから、F-Secure Radar Web Scan Recorder を開くと、操作や入力が記録されていることを確認できます。操作が完了したら、[Next] をクリックします。

ログアウトします。F-Secure Radar Web Scan Recorder を開き、ログアウトの操作が記録されていることを確認できたら、[Next] をクリックします。

最後に、ログアウトしたことの判定のフィンガープリントを設定します。ここでは「ログアウトしました。」の要素を指定してます。指定したら、[Next] をクリックします。

レコーディング結果が表示されます。右上の [Download] からレコーディングファイルを取得します。

以上でレコーディングは完了です。

Webスキャンを実施

以下の手順の通り、レコーディングファイルを使用してWebスキャンをします。

最初に、スキャンの実行単位となるスキャングループを作成します。
F-Secure Radar のポータルサイトにログインしたら、左メニューの [スキャン] > [脆弱性スキャン] > [スキャン グループを追加する] をクリックします。

グループ名や担当者を入力したら、[次へ] をクリックします。

今回はシステムスキャンをしないので、チェックを無効にしてから [次へ] をクリックします。

Web スキャンを設定します。ここではデフォルトのテンプレートのまま、[次へ] をクリックします。

タグ設定です。設定せず、[次へ] をクリックします。

通知設定です。スキャンの開始時と終了時にメールで通知するようにしています。入力したら、[次へ] をクリックします。

設定を確認し、[終了] をクリックします。

スキャングループが表示されますが、対象サーバーは登録されてません。スキャングループのメニューをクリックし、[Web スキャンを追加する] を選択します。

スキャン対象のURL、名前を入力します。

[記録のインポート] を有効にして、先程取得したレコーディングファイルを指定します。指定したら[次へ] をクリックします。

フォーム認にチェックが入り、ログインとログアウトのフィンガープリントが表示されていることを確認したら、[次へ] をクリックします。

ウェブスキャンの範囲を指定します。今回は、自動クローリングをしないので [クローラー自動化の有効化] を無効にします。その他はデフォルトのまま、[次へ] をクリックします。

攻撃が有効になっていることを確認し、[次へ] をクリックします。

設定内容を確認したら、[終了] をクリックします。

スキャングループにスキャン対象が追加されました。以上で、スキャン設定が完了です。

スキャングループにチェックをいれ、[スキャン開始] をクリックすると、診断が開始されます。

診断が完了すると、以下の結果のメールが届きます。今回は診断ページ数が少なかったため、10分程で診断は完了しました。

ポータルからも確認してみます。スキャングループの [アクション] > [スキャン結果を表示する] をクリックします。

診断結果が表示され、脆弱性の詳細を確認することができました。

さいごに

F-Secure Radar のレコーディングツールである F-Secure Radar Web Scan Recorde を使って、脆弱性診断をやってみました。これまで Burp Suite を使ったレコーディングでは、別途プロキシの設定などもあり手間がかかっていましたが、専用ツールによってレコーディングを手軽にできるようになりました。

クラスメソッドでは、脆弱性診断サービスを行っています。スポットの脆弱性診断だけでなく、継続的に脆弱性管理する体制を支援するコンサルティングサービスも行っています。
脆弱性対応に関する支援を希望されておりましたら、こちらの問い合わせフォームからご連絡ください。

脆弱性診断オプション