オープンソースWebアプリのセキュリティを調査

2006/2/25

 Webアプリケーション・セキュリティに関心を持つ企業や個人が参加する「Web Application Security フォーラム」(WASフォーラム)は2月24日、東京都内でセミナーを開催、フォーラムの製品評価分科会で2005年11月に実施したオープンソース・ソフトウェア(OSS)のセキュリティに関する調査の結果を報告した。

数値は脆弱性検知ツールや、その適用方法によって変わってくるため、絶対的なものではない

 この調査では、オープンソースの電子商取引アプリケーション数種を、推奨される構成でインストールし、これに対してWebアプリケーション検査ツールを実行、それぞれについてクロスサイト・スクリプティングやSQLインジェクションなどの脆弱性を確認した。

 さらに、それぞれのアプリケーションに対して3種のWebアプリケーション・ファイアウォール(WAF)を適用し、再びWebアプリケーション検査ツールを実行し、適用前との違いを調べた。

 調査の対象となったのは、OSSショッピングカート・パッケージのCart.pl、Cyber Office、osCommerce、PetStore、MS PetShop、Open For Business、そしてオープンソース化される日本のFALCON。ASP、.net、Javaなどさまざまな言語、フレームワークのパッケージで比較した。

 脆弱性チェックツール「AppScan」を適用した結果、PetShopには200以上の脆弱性あるいは不適切なエラーコード表示が見られた。一方、osCommerce、MS PetShopではまったく問題が見られなかった。

 同分科会のリーダーである奈良先端科学技術大学院大学助教授の門林雄基氏は、今回の調査結果から、「言語やフレームワークの安全度は、傾向で語ることはできない。むしろ自前で作ったフレームワークの脆弱性が結果に出ており、各コミュニティのセキュリティに関する意識の違いが表れている」と報告した。

 「OSSのフィードバックループは放っておいては機能しない」(門林氏)。

 門林氏は、OSSのWebアプリケーションが参照コードとして機能するかどうかはものによって異なるとし、疑いを持ちながら参考にすべきだと話した。

 また、WAFの効果については、デフォルト設定で利用した場合にはアプリケーションの脆弱性を完全に防げない結果となったが、カスタマイズさえすれば利用することに十分意味があると結論付けた。

(@IT 三木泉)

[関連リンク]
Web Application Securityフォーラム

[関連記事]
Webシステム・セキュリティの責任は誰に? (@ITNews)
ラック西本氏が教えるWebサイトセキュリティ3つのポイント (@ITNews)
30万円、最短1営業日で結果を出すWebサイトセキュリティ (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -