• 初めての投稿させていただきます
    tylerdarkeyと申します。

    皆様、よろしくお願いいたします。

    私がWordPressで作成したサイトに対して、脆弱性診断が行われ、SQLインジェクションの項目に引っかかりました。(2サイト)

    脆弱性診断ツールには「OWASP ZAP」が利用され、対象となったサイトのwordpressのバージョンは4.7になります。
    診断結果の下記のように表示されています。

    ■診断内容詳細
    Description : SQLインジェクション
    URL : http://tylerdarkeyxxxx.com/?p=27-2
    Parameter : p
    Attack : 27-2
    Other information : The original page results were successfully replicated using the expression [27-2] as the parameter value
    The parameter value being modified was NOT stripped from the HTML output for the purposes of the comparison

    ※ドメイン名は仮です。

    個人的には、TOPのページ指定の部分であることと、「SQLインジェクション」に関して、WordPressの基本セキュリティで対策がされていると認識しており、特に独自ロジックを組み込んでいなければ安全と考えており、今回の結果は、ご検知ではないかと考えています。

    そこでご意見いただきたいのが
    ・上記の認識で問題ないのか?
       問題がある場合、解決策があればご教授いただきたく思います。

    ・ご検知の場合、どのようにクライアントに説明すればよいのか?

    以上です。

    よろしくお願いいたします。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • CG

    (@du-bist-der-lenz)

    「wp-config.php」のパーミッションやプレフィックスは変更していると信じてますが、URLを察するところ固有ID番号がURLに含まれていて、それが問題になることはあります。WordPressで作成したサイトに対して、脆弱性はつきまといます。オープンソース・ソフトウェアで作ったサイトだから、悪意ある解析を受けやすいことクライアントに理解を得ましょう。

    こんにちは

    脆弱性診断ツールで具体的に報告された脆弱性について、
    「もともと脆弱性だらけなので仕方ないんです」
    という説明はまったく理解を得られないでしょう。

    私がクライアントなら、
    「どのようなシステムでも脆弱性が見つかるのは理解できるが、見つかった脆弱性について対処をしない理由は何ですか?」
    と聞くでしょう。

    さて、私はOWASP ZAPを使ったことがないのではっきりとこの脆弱性について理解しているとは言い切れないのですが・・・
    Other informationの説明によると、パラメータに設定した文字列が、そのままHTMLに出力されていますよ、ということですのでSQLインジェクションではなく、クロスサイトスクリプティングが報告されているように見えます。

    しかし、クロスサイトスクリプティングかどうかを判断するには、このツールがサンプルとして実行している単純なパラメータでは不十分に思います。
    例えば、パラメータに
    p=79-<script>alert(%27a%27);</script>
    と入れたものがHTMLに
    <script>alert('a');</script>
    と出力されてしまったなら、これは脆弱性があると言えるでしょう。

    しかし、WordPressでは実際にはエスケープされて、
    %3Cscript%3Ealert%28%27a%27%29%3B%3C%2Fscript%3E
    と出力されますので、この点では無害と言えます。

    クライアントに正しく説明するためには、OWASP ZAPというツール自体とWordPress自体に施されている脆弱性対策についてもそこそこ理解する必要がありそうですが、説得するだけなら上記のような説明でいいかもしれません。

    OWASP ZAPというツールについても、@tylerdarkeyさんのクライアントについても存じ上げないので、まったく責任は取れませんが。

    トピック投稿者 tylerdarkey

    (@tylerdarkey)

    Du bist der Lenzさん
    munyaguさん

    こんにちはtykerdarkeyです。

    さっそくのフォローありがとう御座いました。
    WordPress、OWASP ZAP両方のもう少し理解し、
    お二人のご意見を参考にして、対応していこうと思います。

    以上 ありがとう御座いました。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • トピック「wordpressのセキュリティに関してご教授ください」には新たに返信することはできません。