この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、中川です。
F-Secure Radar は Web アプリケーションの脆弱性診断ツールです。
本エントリでは、F-Secure Radar Web Scan Recorder を使って、 F-Secure Radar の Web スキャンをやってみます。
F-Secure Radar Web Scan Recorder
F-Secure Radar Web Scan Recorder は、ログインやユーザーの行動をレコーディングするための、 Google Chrome の拡張機能です。 F-Secure Radar は、Web サイトのトップページを起点に自動クローリングして、診断対象のページを洗い出すことが可能ですが、中には自動クローリングで見つけられないページもあります。
例として、EC サイトで「商品をカート入れる→カートページに移動→配送先指定→確認画面確認→配送」のような画面を遷移すると、自動クローリングでは見つることができません。
このようにページに対しては、手動でユーザー行動の記録が必要となり、F-Secure Radar Web Scan Recorder を使って、レコーディングファイルを作成します。
なお、これまで F-Secure Radar で手動レコーディングするときは、Burp Suite を使用していましたが、現在は F-Secure Radar Web Scan Recorder を使うことが推奨となっています。
やってみた
前提
検証の環境にはEC2上にたてた WordPress を使います。
レコーディングファイルを作成
以下のURLから F-Secure Radar Web Scan Recorder をインストールします。
F-Secure Radar Web Scan Recorder
インストールした状態です。とくに設定する項目はなく、すぐに使えます。
今回はログインからレコーディングするため、 [Start authentication flow] をクリックします。
ログインページの URL が表示されていること確認し、[Next]をクリックします。
ログイン情報を入力し、WordPress の管理画面に接続します。
F-Secure Radar Web Scan Recorder を開き、ログインが記録されていることを確認したら、[Next] をクリックします。
ログインに成功したことを判定するため、フィンガープリントを設定します。WordPress のダッシュボードをクリックしてから F-Secure Radar Web Scan Recorder を開くと、ダッシュボードの要素を取れています。確認できたら、[Next] をクリックします。
続いて、手動のクローリングを行います。実際にユーザーが行う操作をしてから、F-Secure Radar Web Scan Recorder を開くと、操作や入力が記録されていることを確認できます。操作が完了したら、[Next] をクリックします。
ログアウトします。F-Secure Radar Web Scan Recorder を開き、ログアウトの操作が記録されていることを確認できたら、[Next] をクリックします。
最後に、ログアウトしたことの判定のフィンガープリントを設定します。ここでは「ログアウトしました。」の要素を指定してます。指定したら、[Next] をクリックします。
レコーディング結果が表示されます。右上の [Download] からレコーディングファイルを取得します。
以上でレコーディングは完了です。
Webスキャンを実施
以下の手順の通り、レコーディングファイルを使用してWebスキャンをします。
最初に、スキャンの実行単位となるスキャングループを作成します。
F-Secure Radar のポータルサイトにログインしたら、左メニューの [スキャン] > [脆弱性スキャン] > [スキャン グループを追加する] をクリックします。
グループ名や担当者を入力したら、[次へ] をクリックします。
今回はシステムスキャンをしないので、チェックを無効にしてから [次へ] をクリックします。
Web スキャンを設定します。ここではデフォルトのテンプレートのまま、[次へ] をクリックします。
タグ設定です。設定せず、[次へ] をクリックします。
通知設定です。スキャンの開始時と終了時にメールで通知するようにしています。入力したら、[次へ] をクリックします。
設定を確認し、[終了] をクリックします。
スキャングループが表示されますが、対象サーバーは登録されてません。スキャングループのメニューをクリックし、[Web スキャンを追加する] を選択します。
スキャン対象のURL、名前を入力します。
[記録のインポート] を有効にして、先程取得したレコーディングファイルを指定します。指定したら[次へ] をクリックします。
フォーム認にチェックが入り、ログインとログアウトのフィンガープリントが表示されていることを確認したら、[次へ] をクリックします。
ウェブスキャンの範囲を指定します。今回は、自動クローリングをしないので [クローラー自動化の有効化] を無効にします。その他はデフォルトのまま、[次へ] をクリックします。
攻撃が有効になっていることを確認し、[次へ] をクリックします。
設定内容を確認したら、[終了] をクリックします。
スキャングループにスキャン対象が追加されました。以上で、スキャン設定が完了です。
スキャングループにチェックをいれ、[スキャン開始] をクリックすると、診断が開始されます。
診断が完了すると、以下の結果のメールが届きます。今回は診断ページ数が少なかったため、10分程で診断は完了しました。
ポータルからも確認してみます。スキャングループの [アクション] > [スキャン結果を表示する] をクリックします。
診断結果が表示され、脆弱性の詳細を確認することができました。
さいごに
F-Secure Radar のレコーディングツールである F-Secure Radar Web Scan Recorde を使って、脆弱性診断をやってみました。これまで Burp Suite を使ったレコーディングでは、別途プロキシの設定などもあり手間がかかっていましたが、専用ツールによってレコーディングを手軽にできるようになりました。
クラスメソッドでは、脆弱性診断サービスを行っています。スポットの脆弱性診断だけでなく、継続的に脆弱性管理する体制を支援するコンサルティングサービスも行っています。
脆弱性対応に関する支援を希望されておりましたら、こちらの問い合わせフォームからご連絡ください。
12
