2016年04月09日

2. ミドルウェアのプリインストールコンテンツ

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
外部に公開するミドルウェアのプリインストールコンテンツ
例)
http://xxxxx/error/noindex.html
http://xxxxx/manual/index.html
http://xxxxx/icons/README.html
を公開対象のままにしていたため、その内容からミドルウェア名やバージョン番号を特定できてしまった。
また、プリインストールコンテンツ自体(サンプルプログラム、デバッグ用プログラム等)に脆弱性が内在した。

【(想定)被害内容】
脆弱性が悪用され、Webアプリケーションを改竄される。
また、機密情報を搾取される。

【対策内容】
プリインストールコンテンツを削除する。
もしくは、プリインストールコンテンツを公開対象外にする。
参考 : Apacheを設定する(welcome.conf、manual.conf)
また、Tomcatの場合(Apacheをフロントエンドとする前提)、通過させるコンテキストパスを限定する(=プリインストールコンテンツを公開対象外にする)。
参考 : Apacheを設定する(Tomcat連携)

【関連する記事】
posted by red at 23:29| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック