本記事は、日本国内向けに展開されているWebサービスに潜むリスク、脆弱性を公開することで企業のご担当者様にも
「うちのサイトは大丈夫かな?」と改めて認識していただくための内容になっております。
*本記事に登場するサイトについては事前に合意の基にsecuasで診断させていただいた内容を公開しております。
目次
1.Webアプリケーション脆弱性診断対象サイトのご紹介【コーポレートサイト】
今回はある企業のコーポレートサイトを診断した結果をご紹介させていただきます。
業種:転職支援サービスを提供している企業
診断サイト:コーポレートサイト
診断ページ数:278ページ
2.Webアプリケーション脆弱性診断結果
リスク合計件数 32件
■リスク内訳
情報漏えい 12件
サイト改ざん 8件
サービスダウン 8件
なりすまし 4件
検出された脆弱性件数 12件
■脆弱性リスクレベル内訳
High 2件
Middle 6件
Low 4件
*実際の診断結果の詳細ぺージ
3.Webアプリケーション脆弱性診断結果についての考察
今回は一般的な企業が保有しているコーポレートサイトを診断させていただきました。
Criticalなリスクはございませんでしたが、HighとMiddleリスクを含む脆弱性が多数検知されており今回のサイトで特筆すべき脆弱性としては下記の脆弱性が検出されたことです。
「Vulnerable JS Library」
この脆弱性は、脆弱性のあるJSライブラリ(Javascript)を使用しているために、その脆弱性を利用したセキュリティ侵害を受ける可能性があるというものです。
JavaScriptが受ける脆弱性の攻撃として最も一般的な3つが以下の内容になります。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングは脆弱性を突いた攻撃の一つとして最も一般的です。
どんな被害にあうかを簡単に書くと
「サイトにウイルスを仕込まれる可能性がある」
ということです。
自社のサイトを見に来たユーザーに悪意のあるスクリプトを実行させるプログラムを植え付けられる可能性が有ります。
クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリはユーザーのブラウザセッションを乗っ取るもしくはなりすます攻撃です。
この攻撃をするとユーザーが使用したログインIDやパスワードを盗み取ることが可能となるので情報漏えい事件に発展する可能性があります。
サーバーサイドJavaScriptインジェクション
サーバーサイドJavaScriptインジェクションは最近発見されたJavaScript脆弱性攻撃になります。。
前述したXSSはユーザーのWebブラウザに対して実行せれるのですが、こちらはサーバーを対象とした攻撃になります。
サーバーで実行される攻撃はWebサイトにより大きな被害を与える可能性が有り、最悪はサーバーを落とされたり乗っ取られることでサイト自体が見れない・対策出来ない可能性があります。
今回診断させていただいたサイトは外部の制作会社にサイトを制作してもらっており、現在もお付き合いがあり毎月の保守管理も行って頂いているため修正も費用が掛からず対応してもらえるようです。
4.まとめ
古いJSライブラリ(Javascript)を使用しているだけで前述したようなトラブルが発生する可能性が有るという非常に恐ろしい状態でした。
通常のコーポレートサイトでもJavascriptを使用していることはまだまだあります。
そのJavascriptが古いかどうかを念のためご自身で確認されてみてはいかがでしょうか?
前述したようなトラブルが発生しても誰も責任は取ってくれません。
まずは自社サイトのリスクを確認することをオススメします。