F-Secure Radar Web Scan Recorderで画面遷移のスキャンをしてみた
こんにちは、中川です。
F-Secure Radar は Web アプリケーションの脆弱性診断ツールです。
本エントリでは、F-Secure Radar Web Scan Recorder を使って、 F-Secure Radar の Web スキャンをやってみます。
F-Secure Radar Web Scan Recorder
F-Secure Radar Web Scan Recorder は、ログインやユーザーの行動をレコーディングするための、 Google Chrome の拡張機能です。
F-Secure Radar は、Web サイトのトップページを起点に自動クローリングして、診断対象のページを洗い出すことが可能ですが、中には自動クローリングで見つけられないページもあります。
例として、EC サイトで「商品をカート入れる→カートページに移動→配送先指定→確認画面確認→配送」のような画面を遷移すると、自動クローリングでは見つることができません。
このようにページに対しては、手動でユーザー行動の記録が必要となり、F-Secure Radar Web Scan Recorder を使って、レコーディングファイルを作成します。
なお、これまで F-Secure Radar で手動レコーディングするときは、Burp Suite を使用していましたが、現在は F-Secure Radar Web Scan Recorder を使うことが推奨となっています。
やってみた
前提
検証の環境には EC2 上にたてた WordPress を使います。
レコーディングファイルを作成
以下の URL から F-Secure Radar Web Scan Recorder をインストールします。
F-Secure Radar Web Scan Recorder
インストールした状態です。とくに設定する項目はなく、すぐに使えます。
今回はログインからレコーディングするため、[Start authentication flow]をクリックします。
ログインページの URL が表示されていること確認し、[Next]をクリックします。
ログイン情報を入力し、WordPress の管理画面に接続します。
F-Secure Radar Web Scan Recorder を開き、ログインが記録されていることを確認したら、[Next]をクリックします。
ログインに成功したことを判定するため、フィンガープリントを設定します。WordPress のダッシュボードをクリックしてから F-Secure Radar Web Scan Recorder を開くと、ダッシュボードの要素を取れています。確認できたら、[Next]をクリックします。
続いて、手動のクローリングを行います。実際にユーザーが行う操作をしてから、F-Secure Radar Web Scan Recorder を開くと、操作や入力が記録されていることを確認できます。操作が完了したら、[Next]をクリックします。
ログアウトします。F-Secure Radar Web Scan Recorder を開き、ログアウトの操作が記録されていることを確認できたら、[Next]をクリックします。
最後に、ログアウトしたことの判定のフィンガープリントを設定します。ここでは「ログアウトしました。」の要素を指定してます。指定したら、[Next]をクリックします。
レコーディング結果が表示されます。右上の[Download]からレコーディングファイルを取得します。
以上でレコーディングは完了です。
Webスキャンを実施
以下の手順の通り、レコーディングファイルを使用して Web スキャンをします。
最初に、スキャンの実行単位となるスキャングループを作成します。
F-Secure Radar のポータルサイトにログインしたら、左メニューの[スキャン]>[脆弱性スキャン]>[スキャン グループを追加する]をクリックします。
グループ名や担当者を入力したら、[次へ]をクリックします。
今回はシステムスキャンをしないので、チェックを無効にしてから[次へ]をクリックします。
Web スキャンを設定します。ここではデフォルトのテンプレートのまま、[次へ]をクリックします。
タグ設定です。設定せず、[次へ]をクリックします。
通知設定です。スキャンの開始時と終了時にメールで通知するようにしています。入力したら、[次へ]をクリックします。
設定を確認し、[終了]をクリックします。
スキャングループが表示されますが、対象サーバーは登録されてません。スキャングループのメニューをクリックし、[Web スキャンを追加する]を選択します。
スキャン対象の URL、名前を入力します。
[記録のインポート]を有効にして、先程取得したレコーディングファイルを指定します。指定したら[次へ]をクリックします。
フォーム認にチェックが入り、ログインとログアウトのフィンガープリントが表示されていることを確認したら、[次へ]をクリックします。
ウェブスキャンの範囲を指定します。今回は、自動クローリングをしないので[クローラー自動化の有効化]を無効にします。その他はデフォルトのまま、[次へ]をクリックします。
攻撃が有効になっていることを確認し、[次へ]をクリックします。
設定内容を確認したら、[終了]をクリックします。
スキャングループにスキャン対象が追加されました。以上で、スキャン設定が完了です。
スキャングループにチェックをいれ、[スキャン開始]をクリックすると、診断が開始されます。
診断が完了すると、以下の結果のメールが届きます。今回は診断ページ数が少なかったため、10 分程で診断は完了しました。
ポータルからも確認してみます。スキャングループの[アクション]>[スキャン結果を表示する]をクリックします。
診断結果が表示され、脆弱性の詳細を確認することができました。
さいごに
F-Secure Radar のレコーディングツールである F-Secure Radar Web Scan Recorde を使って、脆弱性診断をやってみました。これまで Burp Suite を使ったレコーディングでは、別途プロキシの設定などもあり手間がかかっていましたが、専用ツールによってレコーディングを手軽にできるようになりました。
クラスメソッドでは、脆弱性診断サービスを行っています。スポットの脆弱性診断だけでなく、継続的に脆弱性管理する体制を支援するコンサルティングサービスも行っています。
脆弱性対応に関する支援を希望されておりましたら、こちらの問い合わせフォームからご連絡ください。
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
