CEHの復習

Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。

14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。

改めて見直すと、基本的な理論からツールの紹介まで、幅広く網羅されている。

ツールについては、以下のカテゴリで列挙されていた。

• Web application Analyze
• Web application Vulnerability 
• Web application Hacking
• API Vulnerability 
• Fuzz Testing
• Web application Security Testing Tools

Burp SuiteかOWASP ZAPで網羅できそうなものですが、それらはWeb application Analyzeに分類されていたりします。

WebScarabというツールもWeb application Analyzeに分類されていましたが、もともとOWASPのプロジェクトでZAPに組み込まれたようで、CEHのテキストが古い情報でした。

ツールの分類の基準は良く分からないが、各カテゴリで3-6個のツールが紹介され、中にはサブカテゴリに分類され、それぞれでツールが紹介されている。

ツールでなんでも出来てしまう、という攻撃者の有利性を考えて、気分が悪くなったことを思い出しました。

IPAの情報

www.ipa.go.jp

IPAが公開している情報も、量的には多い。

公開日が記載してあるので、古い？、と思ってしまうが、網羅性という点ではCEHのテキストと比較しても十分な気がする。

Webの攻撃手法というのは、それほど変わっておらず、今も同様の脆弱性が存在していて、そこへの攻撃が継続されているのだと思う。

IPAはそれ以外にもツールを配布していたりする。

www.ipa.go.jp

ファジングの資料は、詳しく説明されています。。

何を知り、何を使うべきか

Webアプリケーションの脆弱性に関する情報量は膨大で、それに関するツールも多い。

ツールの使い方を覚えることが目的ではなく、情報に振り回されないためにどうすべきか？

CWEが、すべての上位に存在するのかと思う。

CWE - Common Weakness Enumeration (mitre.org)

現在、CWEは、NISTのNVD、OWASPのTop Ten Projectや、いくつかのセキュリティベンダーなどで実際に活用されています。

　CWEにはCWE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCWE識別子の正確な表示、CWE識別子による情報の検索などの機能要件を満たし、MITRE社へ申請するとCWE互換認定が受けられます。CWE互換認定を受けると、MITRE社のウェブサイトで紹介される、CWEのロゴが使用できる等のメリットがあります。

共通脆弱性タイプ一覧CWE概説：IPA 独立行政法人 情報処理推進機構

CAPECとCWEは関連付けられている。CAPECから WASC Threat Classification 2.0、ATT&CK、OWASPへの関連付けがある。

CAPEC - Common Attack Pattern Enumeration and Classification (CAPEC™) (mitre.org)

膨大なデータではあるものの、CWEを総本山として情報収集をすることが、結局は近道なのかと思う。