[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:04213] Re: 絶対に見つけられないWebアプリ攻撃は存在する

ども、根暗井です ^^)

At Thu, 02 Oct 2003 17:32:53 +0900,
Tomoki Sanaki wrote:

> >で、「セキュアに作ったアプリケーションでもし(誤報でも)インシデント
> >      が報告・発生した場合にはどう確認・証明されますか?」
> >
> >と私なら聞いてしまいそうだ。
> >
> >少なくとも私はまっさきに「で、侵害されちゃった時どう対処します?」と
> >いう話から始めるんですけど間違ってますかね(笑)
> >
> >日本に「インシデント レスポンス」の概念が根付くことはないのかなぁ...
> 
> んがくっく、
> 「システム開発でログ機能として作りこんでも信用できない(インシデントが
> その開発したブツそのものから発生しているから)し、開発に余裕がない
> (そもそもセキュアにするための時間的余裕もない状態なのですから)」
> って事で、HTTP のリクエスト(レスポンス)(CGI の要求のみ)全部取っちゃえ。
> って話でよろしいのではないでしょうか?

そもそもケーキオフに出てないので前提がよくわかってないんですが...
このスレッドの話ってどっちがメインなんでしょうか?

1. (あるプログラムで対処している脆弱性を列挙してる事を前提に)
   万が一それらの脆弱性が残っているとマズいのでそれを発見
   出来るようにしておく。未知の(リストアップしていない)脆弱性
   については特に考慮しない。
2. 今後発見される可能性のある新たな脆弱性を含め、最低限侵害
   された後でもその事実をチェックできるようにしておく。


後者なら基本的には下にかいてあるように
  > HTTP のリクエスト全部取っちゃう(スニッファ、ゲートウェイ式)って話は、
  > 否定はしていませんです。
とりあえずリクエストを全て保存する(当然その場合は対象のサーバーと
別の所で取らないと駄目かな?) ぐらいしか思いつきませんが、前者だと
今まで出てるように(少なくとも客先から見ると) プログラムの不具合を
チェックする為だけの機能になりそうなのでそんな事に金を出してくれる
おいしい^H^H^H^H親切な客は少ないかもしれません。


ちなみにwebアプリの要求仕様を作る人の(いろんな意味での)能力に
よってインシデントレスポンスまで考慮出来るかどうか変わります。
こればっかりは半分「運」なのかも...

                                        By  根暗井
------- 根暗井 == 櫻井 -------- (E-mail : nekurai@xxxxx) -------
だからこそ「いいお客さんは大切にしましょう」となるわけなんだけど
----------------------------------------------------------------