GeeklogおよびGoogleに対する試験結果
2つ目の試験対象としたのはPHPベースの Geeklog コンテンツ管理システムである。Geeklogはセキュリティに関する定評を確保していたことが今回の選定理由の1つだが、私自身が自分のサイトで使用していたのでターゲットにし易かったという理由も存在する。具体的な操作手順としては、自分のサイトにてGeeklogにてログインした後、いくつかの管理作業を実行してみた。そしてその結果、脅威度の高い“POST query with no XSRF protection”が1件および“Suspicious parameter passing scheme”など中程度の脅威が何件かレポートされたのである。なお興味深いことに今回のレポートでは、脅威度の低い問題点として“References to external active content”というフラグがGoogle広告に付けられていたものの、特に危険視すべき問題点は検出されなかった。
今回の最終試験としては、ratproxyにてgoogle.comをポイントさせた後、自分のiGoogleホームページにログインしてウィジェットをいくつか追加するという作業を行ってみた。その際にはテーマの切り替えその他の設定変更も行ったが、これだけの操作で実に43個ものトレースファイルが生成され、それに伴い大量のレポートが報告されたのである。このレポートについては、その一部を抜き出したスクリーンショットを掲載しておいた。
|
| ratproxyが報告するレポート |
このiGoogle試験に関するセキュリティレポートを見ると、脅威度の高い問題が3件と、中程度の問題点が数件指摘されていた。なお今回の試験結果については、ratproxyでは提供企業の関連サイトであっても手心を加えない包括的な解析が実行されることに満足できたので、レポートの報告内容の解析も、各問題点の実際の脅威度も検討していない。
現行のratproxyはベータ版段階に止まっており、実際そのREADMEファイルにはいくつかの問題点が誤検出される可能性に言及されている。とは言うものの、高度に複雑化した最近のWebアプリケーションに対してセキュリティ試験を施すのは簡単な話ではない。しかしながらratproxyを利用すれば最小限の手間と時間でそうした試験が実施でき、操作に必要な情報も分かりやすいドキュメントにまとめられている上、そこにはアプリケーションの安全度判定に役立つ各種Web監査ツールへのリンクも紹介されているのだ。これは私の個人的評価であるが、ratproxyは操作性に優れ安定して動作する有用なツールと評していいだろう。