サーバ側のセキュリティ観点について、2022年6月13日現在の情報をざっくりとまとめてみました。
本記事の対象者は以下の方を想定しています。
構築したり診断する場合の参考になると嬉しいです。
- セキュリティエンジニア
- サーバエンジニア
- サーバ構築
- システム担当者
- エンジニア目指している人
※攻撃する手段にも繋がりかねないので、脆弱性名称とRisk Levelのみ載せています。
Risk Levelについては参考値としてください。
カテゴリ:ファイルおよびディレクトリの漏えい
概要:情報を取得される可能性があります。
Risk Level:middle
・ファイルおよびディレクトリの漏えい
・Apache HTTP Serverにおけるデフォルトページの表示
・デフォルトページの表示
・Oracle Clientログファイルの表示
・.htpasswdファイルの表示
・.htpassファイルの表示
・IISにおけるオプションファイルの表示
・Oracle Clientログファイルの表示
・Microsoft Windowsにおけるサムネイル画像の表示
・Microsoft Windowsにおけるシステムファイルの表示
・JBOSSにおけるデフォルトページの表示
・FrontPage Server ExtensionsまたはWindows SharePoint Servicesにおける過度な情報開示
・ディレクトリ一覧の表示
・メーリングリスト作成画面の表示
・WordPressにおけるデフォルト管理者用ページの表示
・WordPressにおけるデフォルトページの表示
・RoundCubeにおけるアクセス制限不備
・SquirrelMailにおけるアクセス制限不備
・SqWebMailにおけるアクセス制限不備
・AWStatsにおけるアクセス制限不備
・Webalizerにおけるアクセス制限不備
・Analogにおけるアクセス制限不備
・ht://Digにおけるアクセス制限不備
・MRTGにおけるアクセス制限不備
・MRTGにおけるデフォルトファイルの表示
・Opsviewにおけるアクセス制限不備
・Subversionにおけるアクセス制限不備
・VISITORSにおけるアクセス制限不備
・WebDruidにおけるアクセス制限不備
・.htaccessファイルの表示
カテゴリ:脆弱性を含む製品の使用
概要:脆弱性の報告されている製品を使うことで情報を取得されたりします。
Risk Level:low ~ critical
・Apache Tomcatにおけるクロスサイトスクリプティング
・phpinfoにおけるクロスサイトスクリプティング
・Apache HTTP Serverにおけるクロスサイトスクリプティング
・Apache Strutsにおけるクロスサイトスクリプティング
・Apache Tomcatにおけるディレクトリトラバーサル
・Apache Tomcatにおけるディレクトリ一覧の表示
・IISにおけるOSコマンドの実行
・IISにおけるクロスサイトスクリプティング
・Apache HTTP ServerにおけるHttpOnly属性が設定されたCookieが奪取される脆弱性
・PHPにおけるスクリプト実行
・Apache Tomcatにおけるサービス運用妨害
・PHPにおけるサービス運用妨害
・Apache Struts2における複数の脆弱性
・WordPressのREST APIにおける重要情報を奪取される脆弱性
・Apache Struts2におけるリモートコード実行
・Drupal 8におけるリモートコード実行
・Drupal 7におけるリモートコード実行
・Oracle WebLogic Server 12におけるリモートコード実行
・Apache HTTP ServerにおけるUnix系OSに対するディレクトリトラバーサル
・Apache HTTP ServerにおけるWindowsに対するディレクトリトラバーサル
カテゴリ:過度な情報漏えい
概要:特に出す必要がなければ見えないようにしましょう。
Risk Level:low
・FrontPage Server ExtensionsまたはWindows SharePoint Servicesにおける過度な情報開示
・PHPのEasterEggにおけるアクセス制御不備
・SquidにおけるHostヘッダ削除を利用したバージョン情報表示
・SSLアクセラレータにおけるバージョン情報表示
・Apache HTTP Serverにおけるバージョン情報表示
・IBM HTTP Serverにおけるバージョン情報表示
・Oracle WebLogic Serverにおけるバージョン情報表示
・JBossにおけるバージョン情報表示
・PHPにおけるバージョン情報表示
・エラー画面へのバージョン情報表示
・IISにおけるHostヘッダ削除を利用したプライベートIPアドレスの表示
・HTTP Server APIにおけるバージョン情報の表示
・IISにおけるバージョン情報の表示
・Oracle-Application-Serverにおけるバージョン情報の表示
・エラー画面へのバージョン情報表示
・nginxにおけるバージョン情報の表示
カテゴリ:セキュリティ設定の不備
概要:証明書とかヘッダ設定の問題です。
Risk Level:info ~ middle
・Netscape Enterprise Serverにおける設定ファイルの表示
・TRACEメソッドの許可
・UserDir ディレクティブの許可
・crossdomain.xmlの設定不備
・リモートファイルインクルード
・ASP.NETにおけるDEBUGメソッドの許可
・IISにおける過度なアプリケーションマッピング
・IISにおける過度な情報表示
・phpinfoの動作
・信頼されていない証明書
・OPTIONSメソッドの許可
・Apache HTTP Serverにおけるサーバステータス表示
・Strict-Transport-Securityヘッダの不備
・X-XSS-Protectionヘッダの不備
・デコード可能なBIG-IP Cookie
・X-Content-Type-Optionsヘッダの不備
・X-Frame-Optionsヘッダの不備
・Content Security Policyヘッダの不備
最後に
防御力を高めるには、サーバ側・アプリ側でできる限りの対策をし、さらにWAFとか使うのがいいと思います。
やることはやっても、内部での人的ミスなどで流出させると無意味にもなりかねません。
プライベートや研修などでも、セキュリティに関する知識を身につけ、意識していきましょう。