ホーム > フォーラム > 開発 > 脆弱性チェッカー

脆弱性チェッカー
投稿者: itv | 投稿日時: 2006/2/7 12:17 | 閲覧: 8802回
itv
XOOPSCubeの発展を願うひとりです。

以前、紹介したことがありますが
こういった事例
を見聞きするたびにXOOPSCubeのことを考えてしまいます。

・作ったはいいけどセキュリティFIX(モジュールバージョンアップ)がおろそかになりがち
・使いたいモジュールのセキュリティはどの程度確保されているのだろう

ついつい、こういったことを気にしてしまいます。

自己責任での利用にはこういったことも見抜けるスキルが必要といって
しまえばそれまでですが、そのあたりに明るくない人にもある程度の
指標になるようなものが示せないものでしょうかね。

チェック仕様が明らかにされた「脆弱性チェッカー」モジュールなんてできないものですかね。
あくまでそれで万全という訳ではなく、目安として。

こういったツールを公開することの是非については
WhiteHat/GreyHat/Blackhat 色々な考え方はあると思います。
そのあたりも含め、ご意見を伺えれば幸いです。

コメント(5)

新しいものから | 古いものから | ネスト表示 | RSS feed
Re: 脆弱性チェッカー 
投稿者: minahito | 投稿日時: 2006/2/7 14:05
minahito
# フォーラム移動させました。

引用:
チェック仕様が明らかにされた「脆弱性チェッカー」モジュールなんてできないものですかね。
あくまでそれで万全という訳ではなく、目安として。


一応、商用で脆弱性チェックツールってありますよ。
趣味の世界で手が出せる値段ではないですが……

限定でフリーにしているものもあります。

N-Stealth

オープンソースなので、ユーザーがコードをチェックするということも重要だと思います。

それを指標化するとか、体制化するということは(公式でやるつもりはないですが)、まずそのファーストステップをクリアしてからの話かなと感じてます。
Re: 脆弱性チェッカー 
投稿者: itv | 投稿日時: 2006/2/7 22:25
itv
minahitoさん、こんにちは。

確かに「モジュール」という発想が良くない(というかハードル高すぎ)ですね。実機による模擬攻撃をイメージさせてしまいました。

クライアントアプリによるソースチェックと考えれば良いのかな。
「PHPサイバーテロの技法」にGREPでキーワードを引っ掛けるアイディアが披露されています。
行き着くところはコンパイラかもしれませんが、簡易に正規表現や秀丸マクロの類で、怪しげな部分を拾い上げる、という発想ならイケるかもです。
あるいはxoops_secureクラス(架空ね)未使用を検出する、だとか。
Re: 脆弱性チェッカー 
投稿者: nobunobu | 投稿日時: 2006/2/8 18:26
nobunobu
引用:

確かに「モジュール」という発想が良くない(というかハードル高すぎ)ですね。実機による模擬攻撃をイメージさせてしまいました。

クライアントアプリによるソースチェックと考えれば良いのかな。
「PHPサイバーテロの技法」にGREPでキーワードを引っ掛けるアイディアが披露されています。
行き着くところはコンパイラかもしれませんが、簡易に正規表現や秀丸マクロの類で、怪しげな部分を拾い上げる、という発想ならイケるかもです。
あるいはxoops_secureクラス(架空ね)未使用を検出する、だとか。

ツールでは無いのですが、まずモジュール開発者向けののチェックリスト的なものは、
「あればいいなぁ〜」
「用意しないといけないなぁ〜」
と漠然とは考えておりました。

実は、XOOPS.ORGの方にはQA-Checking TOOL for Modulesとかいうのが
公開されています。
(ここでのQAはQualitiy Assurance=品質保証≒品質管理 の意味です)
ToolといってもExcelシートですが、かなりの数のチェック項目が用意されています。
http://dev.xoops.org の方のDownloadsにあったと思います。
分派したとはいっても、見習うべき事は見習いたいと考えています。

が、・・・・今見に行こうと思ったらXOOPS.ORGのサーバ落ちてます
こういう事は、見習いたくないですね 


いずれにせよ、セキュリティーだけでなく、なんらかのチェックシートを、
皆さんの手もお借りしながら作り上げられれば良いですね。

但し、こういったチェックを使って、コアチームとしてモジュールに対しての
評価を下すということは、小生としては一切考えていませんので誤解されませんように!
あくまでも、作者自身のセルフチェックの為のツールです
Re: 脆弱性チェッカー 
投稿者: puchi | 投稿日時: 2006/2/8 21:16
puchi
脆弱性を生まないような開発方法や脆弱性を発見するTipsみたいなものがあるといいなぁと思ってました。

みんなでまとめられないかなぁと思ったりするんですが、とりあえずwikiとかに書いていった方がいいですかねぇ。
#どこにまとめるかで悩んだりしたのですが。

PHP初心者でも見つけられるような脆弱性を持ったスクリプトって結構見ますもんねぇ。
ベタにSQL InjectionとかXSSとかは発見しやすいですし。

XOOPS系のいわゆるサイタイズも独自なところがあるので、まとまっていると新しい開発者にもやさしいかと。
やるって言う人がいたら場所を決めてほそぼそとやろうかなという感じです。

# というより、XOOPS Cube Tipsを作ろう!スレッドをたてようか、数ヵ月迷い中。
Re: 脆弱性チェッカー 
投稿者: itv | 投稿日時: 2006/2/9 1:27
itv
ご意見ありがとうございます。

なるほど。まずは「XOOPSモジュール」にフォーカスしたチェック項目の洗い出しから、ということですね。

それでいけばnobunobuさんご紹介のチェックシートの和訳からですかね。
#今見たらまだ閉鎖中
#復活してました。2006/2/9 1:40

ただ、公開の仕方は少し議論があった方が良さそうに思います。
まず、nobunobuさんご指摘のようにコアチームが責任や保証を負うべきものではなさそうですね。

また、書籍・雑誌・ネット(英文)などでいくらでも情報は手に入りますが、それを日本語で、誰でもアクセスできるところで体系的に集めてしまうと格好のいたずら道具にされてしまうケースがちょっと気になります。

また、意見が分かれる部分の調整や、間違いがあったら貢献のつもりで手伝った人が悪者にならないようにしないと。

結論は「公開」だと思っていますが、過程はちょっと慎重にね

    投票(0)

    新しいものから | 古いものから | RSS feed
     
    To Top