このエントリーをはてなブックマークに追加

概要

従業員40名のおもちゃの会員制オークションサイトのWebシステムの話。一瞬どんなおもちゃを売ってるのか気になった。とりあえずR社のシステム構成図を確認する。よく見るDMZのネットワーク。DMZのWebサーバが内部LANにあるDBサーバにアクセスしているので、FWのフィルタリングルールについての出題と予想する。

以下、何やらややこしいことが書いてあるので大事そうな部分に線を引く
・保守には、WebサーバにあるDB接続用クライアントツールを利用している。
・コンテンツはFTPでアップロードしている。
・RアプリはDB接続ツールとは異なるPerl用DB処理モジュールを利用している。
・会員データは暗号化されていない。
・メールアドレスを会員IDとして利用している。

ペネトレーションテストによる現状確認

侵入テストのこと。他社で会員情報の流出事件があったので、うちは大丈夫なのかと。K課長に丸投げで、K課長はW社に投げる。テスト結果をみると、怖いけどよくある話。V3についてはどんな脆弱性?と思った。

セキュリティの検討

移行はテスト結果について個別に検討。
V-2については、ログアウトできない現象。セッションを破棄できてないのが原因。

下線部1登場。FWのフィルタリングログを見たら解決。

鍵認証にすればより安全。

V7に関する問題。
下線部2登場。会員データを閲覧される可能性があるとのこと。暗号化にAESを利用している。暗号鍵はスクリプトファイルに記述されているので、それがわかれば複合可能。また、DBのアクセス情報もファイルから読み取ればデータの取得も可能。

下線部3登場。暫定対策としては、ファイルの読み取り権限をなくせばよい。

下線部4登場。他社のWebサイトで情報が流出した際に、こちらのサイトにもログインされるのではないかという問題。こちらは単純に単位時間あたりのログインの変化率やログインユーザの数をモニタリングするしかないのかな。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス