8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント。CTFや勉強会の依頼があればご相談ください。

セキュリティ診断

1.ポートスキャン

別途記載します。

2.脆弱性の指標

❶CVE、CWE、CVSSの説明
IPAのサイトに、脆弱性の指標であるCVE、CWE、CVSSに関して説明があります。
・共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html
・共通脆弱性タイプ一覧CWE概説
https://www.ipa.go.jp/security/vuln/scap/cwe.html
・共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html

❷CVSS
上記のサイトを元に、CVSSを評価する3つの基準の中身を見ましょう

項番 基準 基準の内容 備考
(1) 基本評価基準(Base Metrics) 脆弱性そのものの特性を評価する基準です。 時間の経過や利用環境の異なりによって変化しません。
(2) 現状評価基準(Temporal Metrics) 脆弱性の現在の深刻度を評価する基準です。 脆弱性への対応状況に応じ、時間が経過すると変化します。
(3) 環境評価基準(Environmental Metrics) ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。 ユーザ毎に変化します。

❸実際のCVSS値を見てみよう
以下に、2023年6月14日に出されたIPAからの注意喚起があります。
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
このCVE-2023-27997を、JVNの脆弱性対策情報データベース(https://jvndb.jvn.jp/index.html)で調べてみましょう。
基本評価基準を見ると、9.8(Critical)です。攻撃元区分が「ネットワーク」なので、インターネットから攻撃される可能性があり、非常に危険と言えます。

3.Nessusによる脆弱性診断

スキャンあたりのIPアドレスが最大16ではあるが、無料で診断に利用できる。
https://jp.tenable.com/products/nessus/nessus-essentials

(1)インストール

・上記にて、名前やメールアドレスを入力
・Nessusをインストールするが、Windows10のPC、WindowsSerer(x86_64)、MACやLinuxなどのOSを選ぶことができる。
・ダウンロードしたファイルを実行。基本的には「次へ」で進む。
・ブラウザの画面が開くので、SSLで接続。おそらく以下のURL
https://localhost:8834/#/
・「Registar for Nessus Essential」を選択してContinue。次の画面はSkipしてActivation Codeを入れる
・username とパスワードを作成してsubmit
・ここから少し時間がかかる(1時間~2時間は覚悟した方がいいかも)
 右上の円形の矢印がグルグル回っているとすると、そこにカーソルを合わせると、進捗がわかる

(2)テストスキャン

インストールが無事に終わると、最初のテストスキャンするサーバを入力する画面がでる。
ここでIPアドレスを入れる。このIPも16IP制限にカウントされる。
基本的にはプラットフォーム診断を実施してくれる。
→画面は非常に見やすい。

(3)Credential Scan

外部から診断をするのは、Webサーバのバナーであったり、レスポンスを見て、OSやミドルウェアの情報を取得する。それだと限界があったり、正確な情報がわかるとは限らない。それよりは、サーバにログインし、コマンドを打つことで、OSの正確なソフトウェアの状況がわかる。場合によっては、パッチの適用状況もわかる。
そのためには、Credential Scanとして、SSHでログインをさせる。そのために、NessusにログインID/Passwordを渡す。

(4)Webアプリ診断

Webアプリケーションの診断もできるが、見た感じだと、表面的なXSSの診断などしかしていない感じであった。
Nessusはあくまでもプラットフォーム診断であり、きちんとしたWebアプリケーション診断をするのであれば、有料の別のツールを使うか、無料であればOWASP ZAPなどを使うのがいいだろう。
以下、WebのフォームのログインURLや、ログイン情報を設定できる。設定は少し難しい。