2019年07月07日

脆弱性診断スタートガイド

上野宣 翔泳社 2016年 を読み始めた。なるほどね、こういうことだったのか。そういう驚きというか発見というか、インチキする連中はようけ勉強しよるものだ(笑)

Webセキュリティ担当者のための、と書いてある。
ここは自分んちでhttpサーバーも建てたし、脆弱性の勉強をするど!!  自分ちのWebセキュリティ担当者はワタクシなのでしてん。

読み始めなので脆弱性が発見できたとして対策はどうするのか? という問題は本の後半から終盤に書いてあるはず・・・きっと。期待過剰か。
自分ちサーバーのapache2のaccess.logを見ると1,2分で百行を超える記録がある。それが何を探しているのかを先ずは知る。そんなあたりから知識を深めていきたいワタクシ。まあ高望みかな。
ちなみに自分ちサーバーは、
toinohni.dip.jp
  HTMLを自分でサクサクと書いて・・・・ではなくてMicrosoft Expression Web 4を使った。ま~それは練習というか暇つぶしというか、です。

--------------

実はこの手の話に興味が出たのはセキュリティのリテラシーを身に着けないと昨今のIoTの社会ではどーたら・こーたら なのであると知ったからである。日経の「IoT大全2018」という本で知った驚愕の事実!!  なんちて。
組み込み機器ではLinuxが採用されているのが多い。テレビもレコーダーもLinunx使っている・・・としよう。インターネット接続機能は常識だ。つながらなかったらIoTではないからね。そして、LinuxはTelnetが使える。Telnet使うにはID,PWが必要だ。それは工場出荷時点で設定されている。普通は使う際にはPWを変更する。説明書にもそう書いてある。だが、工場出荷状態で使う連中が非常に多いと。
さらに、これらの電子機器の工場出荷状態でのID, PWの一覧が検索すると手に入る。よって、Telnetでつながるのである。TelnetでそういうLinux搭載機器にLog in出来てしまう。するとたのし~事が期待できるわけですね。
LinuxのTelenetは問題だ!!  という警告は2000年代前半にはあったようだ。何人かがそういう記事を書いていて検索したら出てきた。だが、当時は数がまだ少なかったのだろう。IoTだーと騒ぐほどではなかったし。
IoT大全という本でセキュリティに関心が出た次第である。インチキはやめようよ、手抜きはやめようよ・・・だす。

--------------


そして実例。近隣の図書館は今ではSSL化されている。数年前はそうではなかった。Webのhttps化が進む中、初めはユーザーの設定画面、ログイン画面だけがhttps化された。ほかはhttpであった。今では全部がhttpsである。そのように進んできた。
だが、ワタクシは発見した。金融商品の情報を提供する企業のサイト。株価情報、投資信託とかの情報を提供する企業のサイト。トップページはhttpsである。そりゃ普通だに!!  ところがユーザーのログイン画面がhttpなのである。そこのID入力欄にFirefoxは「これは安全ではありませぬ」って表示を出す。
ログイン画面こそ真っ先にhttps化すべきだろ、アホかこの会社は!!  
しかし、そんなはずはない。ログイン画面こそhttps化すべきであるという認識はWebサイト制作側は当然知っているはずだ。
だが、現実にログイン画面はhttpであってhttpsではない。バカタレのあほたれが作ったのか。

   これ、実はログイン画面はhttpsとhttpで2つ用意されているみたい。トップページからログインをクリックすると画面が変わるが、そこでのリンク設定を間違えているようだ。なのでログイン画面がhttpになっているときに、httpsとアタマを書き換えるとhttpsのログイン画面に変わる。
とは言っても、ログイン画面がhttpになっているということに気づかぬバカタレがWebサイトを制作しているって、なんだかなー。その会社の人たちは自分でアクセスする事はないのかい。
(リンクを間違えているというのは素人の浅はかである可能性が高い、別原因かもよ)
これ、いつ治るか注目している。こんな会社の提供する金融情報、マーケット情報って・・・・・・それは単に情報だから誰が集めても同じだろな(笑)

--------------
   最近、スマホのSMSを使っての認証があるなあ。LINEがそうだ。MSもそうだし。これは二段階認証と言うのだっけ。user, pwだけでなく、さらに一工夫だ。いいぞ。そういう工夫を続けるべしだ。悪用しようという連中は妙にアタマがいい奴がいるらしいし。

posted by toinohni at 08:20
"脆弱性診断スタートガイド"へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: