2016年04月10日

6. ミドルウェアの設定(SSL)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
外部に公開するミドルウェアの初期設定をそのままにしていたため、
非推奨のSSLv3が有効となり、POODLE(Padding Oracle On Downgraded Legacy Encryption)の脆弱性が内在した。

【(想定)被害内容】
解読されたCookieヘッダからWebアプリケーションの認証情報を奪取される ⇒ アカウントを乗っ取られ、Webアプリケーションを不正利用される。

【対策内容】
SSLv3を無効にする。
また、暗号強度の弱い暗号スイートを無効にする。
Apacheの場合、ssl.confを
-----
SSLProtocol all -SSLv2
-----
から
-----
#SSLProtocol all -SSLv2
SSLProtocol all -SSLv2 -SSLv3
-----
に、
-----
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
-----
から
-----
#SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCipherSuite ALL:!aNULL:!eNULL:!EXP:!RC2:!DES:!IDEA:!SEED:!MD5
SSLHonorCipherOrder on
-----
に編集する。なお、
-----
# openssl s_client -connect localhost:443 -ssl2
# openssl s_client -connect localhost:443 -ssl3
-----
にて対策検証する。

【関連する記事】
posted by red at 13:24| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック