Webサイト脆弱性テスト(Fiddler)

Webサイト脆弱性テスト・Fiddler利用手順

Webサイトの安全性をチェックする手順を記します(Windows版ソフトウェアのFiddlerを利用します)

準備

  • 使用するチェックシート
  • Fiddler(HTTPキャプチャツール)
    • 通信内容を確認するため、Fiddlerを使用します
    • Fiddler公式サイトhttp://www.telerik.com/fiddler
      • PCの.NET Framework のバージョンに合ったFiddlerをインストールします
        • .NET v2 ⇒ Fiddler2
        • .NET v4 ⇒ Fiddler4
      • 「fiddler4setup.exe(Fiddler4の場合)」を実行し、画面に従い、インストールします

Fiddlerの簡単な使い方

  • Fiddlerを起動する
  • ツールバーの「Decode」ボタンを押しておく
  • HTTPリクエスト/レスポンスをキャプチャする
    • Fiddlerを起動した状態でブラウザからWebサイトへアクセスする
    • 左側の枠にHTTPセッション(リクエスト/レスポンス)が表示される
    • 右上の「Inspectors」タブを選択し、該当するリクエストを選択すると、電文の内容が表示される
      • 子タブで表示形式を切り替える
      • 「Raw」⇒ HTTPを生の状態で表示
      • 「Headers」⇒ ヘッダ
      • 「TextView」⇒ ボディのテキスト表示
      • 「WebForms」⇒ パラメータ(編集可)
      • 「Cookies」⇒ Cookies
      • 他にも表示形式はありますが、大体は上記5種類を使用します
    • 右下にはレスポンスが表示され、同様にタブで形式を切り替える
  • パラメータの書き換え方
    • リクエストにパラメータが存在する場合、送信電文をFiddlerで書き換えて送信できる
      • Rulesメニュー>Automatic Breakpoint>Before Requests にセット
      • 右上の「WebForm」タブにてパラメータを編集する
      • 右中央の「Run to Completion」ボタンを選択すると書き換え後のリクエストが送信される
      • テストが終わったら、Rulesメニュー>Automatic Breakpoint>Dissable で解除する

チェック項目の概要

No.大項目脆弱性対象画面
A SQL インジェクション パラメータにSQL文を挿入し、不正なDB操作を行う DBアクセス
B クロスサイト・スクリプティング(XSS) パラメータにHTML、JavaScriptを挿入し、パラメータを表示するタイミングで不正な操作を行う 入力内容確認画面、エラー画面
C クロスサイト・リクエスト・フォージェリ(CSRF) 罠サイトから、ログイン済のセッションを使った不正な更新操作を行う パスワード変更、DB更新、メール送信、購入、設定変更
D OS コマンド・インジェクション パラメータに仕込んだOSコマンドを不正に実行させる メール送信、その他OSコマンドを呼び出す処理
E ディレクトリ・リスティング サーバ上のディレクトリ一覧を取得し、重要情報を取得する 任意の箇所
F メールヘッダ・インジェクション メールの宛先、件名、本文を不正に改変し、迷惑メールを送信する メール送信
G パス名パラメータの未チェック/ディレクトリ・トラバーサル ファイル名のパラメータでディレクトリ階層をさかのぼり、不正なファイル操作を行う ファイル名が含まれる画面
H 意図しないリダイレクト パラメータのURLを不正に改変し、罠サイトへ誘導する リダイレクト
I HTTP ヘッダ・インジェクション CookieやURLを改変し、不正操作を行う Cookie、リダイレクト
J 認証 パスワードを推測し、不正にログインする ログイン、ログアウト
K セッション管理の不備 セッションIDを推測したり、外部から固定IDを強制することで、不正な操作を行う ログイン、ログアウト
L 認可制御の不備 URL直打ちなどで、権限のない操作を不正に行う ユーザによってできることが切り替わる画面
M クローラへの耐性 検索エンジンの自動収集プログラムによるアクセス負荷に耐えられない トップページから直接たどれる画面

トラックバック


この記事へのトラックバック一覧です: Webサイト脆弱性テスト(Fiddler):

コメント

コメントを書く



(ウェブ上には掲載しません)