セキュリティ監査においても、なりすまし攻撃が重要視されるようになってきています。そのための対策としては、任意のスクリプトを注入されないようにする、ヘッダーへのリダイレクト攻撃を防ぐなどがありますが、対策としては、画面表示時に無効化する機能を埋め込んだり、リダイレクトをするコントローラやプログラムの変数評価をきちんとすることなどがあります。
しかしながらすでにできあがっているサイトを検査する、自分でつくったサイトを検証するとなると、面倒です。
XSS脆弱性性攻撃、HEADER書き換え攻撃の広範囲なテストを自動でやってくれる無償ツール、それがParosです。
自主的にやるXSSの検証は、結構ストイックな作業でもあるし、なんだかテスター/テスティングの仕事として評価されているのかどうか職場によっては微妙な空気がただよっちゃう場合もありますが、心が乾ききってしまう前に、ツールの導入を検討してみるのもいいのかもしれません。
メリット
- クライアントにインストールして、ブラウザしていくだけで脆弱性の可能性がある個所がわかる。ただし、ちょっと時間がかかるので、自主的にやる場合などは、主要な箇所をいくつかピックアップしておく必要がるかもしれません。
課題
- すべての攻撃を防げるわけではない。とくにCSRFなど、パラメタを改ざんして他の人の書き込みとして書き込むなどの制御まではできないのでは・・・→自分でテストする必要がある
- SQLインジェクション脆弱性指摘については、どうやって実装しているのか謎につつまれているので、有効性は検証したほうがよい
本体はこちら
http://parosproxy.org/index.shtml
使い方wikiやblogなど参考情報
http://security.c-inf.com/
(旧内容)
http://security.c-inf.com/wiki/index.php?Paros
診断ツール全般に関するwiki(有力なもの)
http://security.c-inf.com/
(旧内容)
http://security.c-inf.com/wiki/index.php?cmd=read&page=VulnerabilityAssessmentTools#content_1_2