セキュリティチェックの落とし穴　管理用インタフェース

　web サーバのアクセスログの解析に使用されるソフト analog にクロスサイトスクリプティングの脆弱性が存在していたことを先日お伝えした。

アクセスログ解析ツール analog に管理者を攻撃できるクロスサイトスクリ
プティング脆弱性(2002.3.22)
https://www.netsecurity.ne.jp/article/1/4481.html

　web でのインタフェースを提供している管理用ツールにクロスサイトスクリプティングの脆弱性が存在することは珍しくない。

　昨年、10月に web サーバのアクセスログの解析に用いられる WebAlizer でもクロスサイトスクリプティングの脆弱性が発見され、FIXしたバージョンがリリースされている。

WebAlizer 2001/10/23
http://www.mrunix.net/webalizer/news.html

　これらは、氷山の一角である。数多くのweb ベース管理用インタフェースに同種の問題が存在している。
　この問題は、以前から、web 管理者などの間で、話題になっていた。アクセスログ解析結果を表示させると、本来ヘッダ情報やURLが表示されるべき個所に画像などいたずらと思われるものが表示されるという奇妙な問題がweb 管理者におこっていた。

　web ベースの管理者用インタフェースは、限られた利用者（それもくわしい人である可能性が高い）に利用されているため、危険度はそれほど大きくないと思われる方もいるかも知れない。
　しかし、実際には、管理者用インタフェースには、一般利用者向けのものよりも潜在的な危険が多い可能性も高いのである。
　例えば、管理者が保有する情報は、漏洩した場合、危険度の高いものが多い。管理用ツールのID、パスワードはもとより、その他のシステムのID、パスワードなども盗まれる可能性がある。クロスサイトスクリプティングを用いて、ID、パスワードの入力を求める画面を表示して入力されたものをそのまま攻撃者のもとに届ければよい。
　物理的な管理用クライアントの場所や管理者が特定されるだけでも場合によっては危険である。

>> 管理者のスキをつくさまざまな攻撃と意外に多い攻撃方法

　web ベースの管理者用インタフェースあるいは管理者用ツールの場合、攻撃可能な個所が一般の web 閲覧よりも多く存在する。

　攻撃可能な個所の例

・クライアントのヘッダ情報偽装
　ヘッダ情報は、偽装可能である。ヘッダそのものに不正なスクリプトやタグを仕込むことが可能である。ブラウザ情報にスクリプトを仕込むなどの偽装による攻撃が実際に行われている。
・web アクセスログの偽装
　管理者を攻撃するために、わざとURLにタグやスクリプトを埋め込んでおくなどの方法でスクリプトを仕込むことが可能である。

　管理用インタフェースでは、スクリプトを利用しているものが少なくない。そのため、クロスサイトスクリプティングの罠にかかりやすい。

>> ASPサービスでも危険性！大量無差別攻撃が可能！？

　攻撃対象となるのは、アクセスログ解析ソフトだけではない。
　あらゆるweb ベースの管理用インタフェースに同種の問題が存在している可能性がある。
　ASPサービス（アプリケーション・サービス・プロバイダ）、ルータなどの機器設定をはじめとして、さまざまな場面で、web ベースの管理用インタフェースが利用されている。

　ASPサービスの場合、多数の個人情報を管理しているケースも少なくない。アンケートやメールマガジン配信サービスなどがこれにあたる。
　こうしたASPサービスの管理者IDとパスワードが漏洩した場合の危険性は、個人情報をもつシステムに侵入されたのを同程度の危険性が存在している。

　管理者用インタフェースに、一般に公開されているサービスではないので、つい根拠もなく油断することがあるが、実際には多くの危険性が存在している。利用にあたっては、十分な注意が必要である。

[ Prisoner Langley]

（詳しくはScan　および　Scan Daily EXpress 本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml