← ブログに戻る
サイバーセキュリティペネトレーションテストowasp

私の最終プロジェクト - OWASPによるペネトレーションテスト - Cristian Arando

公開日 2024年9月20日 1 分で読めます
私の最終プロジェクト - OWASPによるペネトレーションテスト - Cristian Arando

はじめに

システム工学の学位を取得するための最終プロジェクトとして、私はUniversidad Mayor de San SimonのSISGAAウェブシステムに対し、包括的なペネトレーションテスト(侵入テスト)を実施しました。このプロジェクトでは、OWASP Top 10およびOWASP API Security Top 10という業界標準の手法を適用し、セキュリティ脆弱性の特定、分析、およびその軽減策の提案を行いました。

注: このプロジェクトの完全な文書は、UMSSの機関リポジトリで閲覧可能です。

プロジェクトの背景

SISGAA (Sistema de Gestión Académica y Administrativa) システムは、情報システム学科で使用されている重要なウェブアプリケーションです。機密性の高い学術・管理データを扱っているため、組織および個人の両方の情報を保護する上でセキュリティは不可欠です。

定義・方法論

私は構造化されたペネトレーションテストの手法に従って以下の手順を実施しました:

  1. 計画とスコープの定義: セキュリティ評価の対象範囲と目的を明確に設定しました。
  2. 情報収集: システムアーキテクチャおよびテクノロジースタックに関するデータを収集しました。
  3. 脆弱性分析: 潜在的なセキュリティの弱点を特定しました。
  4. エクスプロイト(攻撃検証): 制御されたテスト環境により、脆弱性の実証を行いました。
  5. 文書化: 発見された事項と推奨される対策を詳細に記録しました。

技術的アプローチ

ペネトレーションテストのプロセスは、互いに補完し合う2つのフレームワークを組み合わせて行われました:

ウェブアプリケーションテスト (OWASP Top 10)

以下のような一般的なウェブ脆弱性に関する徹底的なテストを実施しました:

  • クロスサイトスクリプティング (XSS)
  • 認証の不備 (Broken Authentication)
  • 機密データの露出 (Sensitive Data Exposure)
  • セキュリティの設定ミス (Security Misconfigurations)

APIセキュリティテスト (OWASP API Security Top 10)

現代のウェブアプリケーションはAPIに強く依存しているため、専門的な手法を導入しました:

  1. ディスカバリ: APIの構造とエンドポイントの全体像を把握(マッピング)。
  2. エンドポイント解析: リクエスト・レスポンスのパターンを調査。
  3. 認証テスト: ログインメカニズムの検証。
  4. 認可のエクスプロイト: アクセス制御の境界をテスト。

主な発見

評価の結果、SISGAAシステムにはいくつかのセキュリティ脆弱性が存在することが判明しました:

  1. 反射型クロスサイトスクリプティング (Reflected XSS): 悪意のあるスクリプトを注入される可能性がありました。
  2. オブジェクトレベル認可の不備: リソースへの不正アクセスが許可されていました。
  3. 機能レベル認可の不備: 権限のない機能の実行が可能になっていました。
  4. APIドキュメントの漏えい: Swagger経由で機密なエンドポイント情報が公開されていました。
  5. セキュリティヘッダーの欠落: 重要なブラウザセキュリティ設定が不足していました。
  6. 脆弱なJavaScriptライブラリの使用: 既知の脆弱性を持つ古いコンポーネントが使用されていました。

技術的実装(使用ツール)

本プロジェクトでは、以下に挙げる専門的なセキュリティツールを活用しました:

  • OWASP ZAP: 自動化された脆弱性スキャンの実施。
  • Burp Suite: HTTPリクエストの傍受と分析。
  • カスタムスクリプト: API認可の不備をテストするための自作スクリプト。
  • ブラウザ開発者ツール: ウェブアプリケーションの挙動解析。

影響と軽減策

発見された各脆弱性に対して、具体的な軽減策を提案しました:

  • 入力値の検証と出力のエンコーディング: XSS攻撃を防止する。
  • 適切な認可チェックの実装: アクセス制御を強制する。
  • APIセキュリティ制御: 機密なエンドポイントを保護する。
  • セキュリティヘッダーの実装: ブラウザベースのセキュリティを強化する。
  • コンポーネントの更新: 既知の脆弱性を排除する。

おわりに

このプロジェクトにより、体系的なペネトレーションテストが、悪意ある攻撃者に悪用される前にウェブアプリケーションの重大な脆弱性を発見できることが証明されました。今回の結果は、とりわけ機密情報を扱うシステムにおいて、開発ライフサイクル全体にわたってセキュリティを組み込むことの重要性を浮き彫りにしました。

提供された一連の推奨策は、SISGAAシステムのセキュリティ状態を強化し、想定されるサイバー脅威から機関およびその利用者を保護することにつながるでしょう。

実証された技術スキル

  • ウェブアプリケーションに対するセキュリティ評価
  • APIセキュリティテスト
  • 脆弱性悪用(エクスプロイト)技術
  • セキュリティ文書の作成およびレポーティング
  • OWASP手法の実践的応用

コメント

目次
次の記事 → Hello World — ブログへようこそ