CEHの復習
Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。
14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。
改めて見直すと、基本的な理論からツールの紹介まで、幅広く網羅されている。
ツールについては、以下のカテゴリで列挙されていた。
- Web application Analyze
- Web application Vulnerability
- Web application Hacking
- API Vulnerability
- Fuzz Testing
- Web application Security Testing Tools
Burp SuiteかOWASP ZAPで網羅できそうなものですが、それらはWeb application Analyzeに分類されていたりします。
WebScarabというツールもWeb application Analyzeに分類されていましたが、もともとOWASPのプロジェクトでZAPに組み込まれたようで、CEHのテキストが古い情報でした。
ツールの分類の基準は良く分からないが、各カテゴリで3-6個のツールが紹介され、中にはサブカテゴリに分類され、それぞれでツールが紹介されている。
ツールでなんでも出来てしまう、という攻撃者の有利性を考えて、気分が悪くなったことを思い出しました。
IPAの情報
IPAが公開している情報も、量的には多い。
公開日が記載してあるので、古い?、と思ってしまうが、網羅性という点ではCEHのテキストと比較しても十分な気がする。
Webの攻撃手法というのは、それほど変わっておらず、今も同様の脆弱性が存在していて、そこへの攻撃が継続されているのだと思う。
IPAはそれ以外にもツールを配布していたりする。
ファジングの資料は、詳しく説明されています。。
何を知り、何を使うべきか
Webアプリケーションの脆弱性に関する情報量は膨大で、それに関するツールも多い。
ツールの使い方を覚えることが目的ではなく、情報に振り回されないためにどうすべきか?
CWEが、すべての上位に存在するのかと思う。
CWE - Common Weakness Enumeration (mitre.org)
現在、CWEは、NISTのNVD、OWASPのTop Ten Projectや、いくつかのセキュリティベンダーなどで実際に活用されています。
CWEにはCWE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCWE識別子の正確な表示、CWE識別子による情報の検索などの機能要件を満たし、MITRE社へ申請するとCWE互換認定が受けられます。CWE互換認定を受けると、MITRE社のウェブサイトで紹介される、CWEのロゴが使用できる等のメリットがあります。
共通脆弱性タイプ一覧CWE概説:IPA 独立行政法人 情報処理推進機構
CAPECとCWEは関連付けられている。CAPECから WASC Threat Classification 2.0、ATT&CK、OWASPへの関連付けがある。
CAPEC - Common Attack Pattern Enumeration and Classification (CAPEC™) (mitre.org)
膨大なデータではあるものの、CWEを総本山として情報収集をすることが、結局は近道なのかと思う。