IPAではウェブサイト管理者がウェブアプリケーションに対する攻撃有無を把握できるツールとして「iLogScanner」を無料で提供しています。
概要
iLogScannerはウェブアプリケーションに対する攻撃を検出するJavaAppletアプリケーションです。本ツールはウェブサーバのログファイルから攻撃を検出します。
解析する対象
iLogScannerが解析できる攻撃対象の脆弱性は以下の通りです。
| 解析可能な攻撃対象の脆弱性 | 攻撃と思われる痕跡の検出 | 攻撃に成功した可能性が高い痕跡の検出 |
| SQLインジェクション | ○ | ○ |
| OSコマンド・インジェクション | ○ | ― |
| ディレクトリ・トラバサール | ○ | ― |
| クロスサイト・スクリプティング | ○ | ― |
| その他(IDS回避を目的とした攻撃) | ○ | ― |
そして解析した結果はレポートとして、攻撃対象となった脆弱性、攻撃元のIPアドレス、攻撃時刻、そして攻撃の痕跡のあるログの部分を得ることができます。
もしiLogScannerで攻撃の可能性が確認されたら、ウェブサイトの開発者やセキュリティベンダーなどに相談し対策を講じましょう。
iLogScannerの詳しい説明および入手方法は以下のサイトに掲載されています。
【教材編】
知っていますか?脆弱性―アニメで見るウェブサイトの脅威と仕組み
脆弱性ウェブサイトの運営者や一般利用者向けに、ウェブサイトにおける代表的な10種類の脆弱性について、わかりやすくアニメーションで解説したものです。脆弱性についての理解を深める第一歩としてご活用ください。
ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです。事件や事故が発生した場合の被害を理解し、事前対策の必要性を学ぶことができます。
ウェブアプリケーションやサーバ・デスクトップアプリケーションの脆弱性の発見方法や対策について実習形式で体系的に学べる開発者向けの学習ツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見やプログラミング上の問題点の把握や対策手法の学習を対話的に実施できます。
ソースコードセキュリティ検査ツール iCodeChecker
ソースコードセキュリティ検査ツール「iCodeChecker」は、C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツールです。
国内の製品開発者から公開された対策情報、および海外の脆弱性対策情報データベースに登録された情報に基づき、国内で利用されている製品を対象にした脆弱性対策情報を網羅、蓄積しています。
IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料です。
「安全なウェブサイトの作り方」の別冊として、SQLインジェクション対策が安全なものであるための要件を掘り下げて検討し、どの製品をどのように使えば安全なSQL呼び出しを実現できるのか、いくつかの具体的ケースについて示しています。
