TIPLOG

WEB制作に関わるTIPS、ヒントやアイデアメモ

Home TIPLOG

【セキュリティチェック】サイト、ホームページのセキュリティチェック。忘れたころにやってきた、チェックしなさい!というメッセージ?

ある日こんなメールが・・・  当サイトのコンタクトメールから、ある日こんなメールが・・・。怖くなり、SEにも相談。サイトの改ざん(されているか)状態も至急チェック。
 でもつい忘れがち、ないがしろになりがちな安全対策、現状のセキュリティチェック。
 教えてくれて、気づかせてくれて、ありがとうございます・・・かも。

現状の安全性と評価を確認

チェックツール「iLogScanner」

チェックツール「iLogScanner」での確認 ログのスキャンは・・
 サイトの中をある程度見回りした後、まず行うのは「情報処理推進機構」が提供してくれているこのチェックツール「iLogScanner」での確認。
サイトにアクセスして、ブラウザ内で利用するアプリケーション サイトにアクセスして、ブラウザ内で利用するアプリケーションです。
Apacheの掃出しログを、過去分も含めてチェック Apacheの掃出しログを、過去分も含めてチェック!
チェック中 ・・・ チェック中 ・・・
ふぅ~。今のところ痕跡は見つからない。 ふぅ~。今のところ痕跡は見つからない。(この後、Mod Security対応版でもチェックしておく)。一応大丈夫のようだ。

さらに、チェックツール「OWASP Zed Attack Proxy (ZAP)」

OWASP Zed Attack Proxy Project こちらは、さらにチェックできる。疑似的に攻撃などを行いチェックしてくれるツールだ。
ローカルPCにインストールしたアプリケーションで実行 ローカルPCにインストールしたアプリケーションで実行。サイトURLを指定して実行する。(注)自身の管理下以外のサイトへはアクセスしてはならない。
サイト内をくまなく調べてくれる サイト内をくまなく調べてくれる。
脆弱性について教えてくれて・・・ 脆弱性について教えてくれて・・・。
Cookieハンドリングで 'HttpOnly' のフラグがないこと、教えてくれたり・・・Cookieハンドリングで 'HttpOnly' のフラグがないこと、教えてくれたり・・・ Cookieハンドリングで "HttpOnly" のフラグがないこと、教えてくれたり・・・。

もひとつ、現状確認ツール「aguse. GATEWAY」

現状確認ツール「aguse. GATEWAY」 こちらは、本来はアクセスする方(利用者)が、その(アクセスする)サイトは安全かどうか 確認するためのものだが・・・自身のサイトがどのように評価されているか(危険サイトに指定されていたりしていないか)などを確認できる。
URLアドレスを入れて、調査しておくURLアドレスを入れて、調査しておく URLアドレスを入れて、調査しておく。
KASPERSKY と提携(?)したマルウェア調査外部接続サイト(リンク) KASPERSKY と提携(?)したマルウェア調査や、外部接続サイト(リンク)。
ブラックリストにのっていないか、などを教えてくれる ブラックリストにのっていないか、などを教えてくれる。

念のため、セキュアブレインの「gred」でもチェック

念のため、セキュアブレインの「gred」でもチェック 株式会社セキュアブレインが提供しているサイトチェック「gred でチェック」。
URLアドレスを入れて、調査しておく URLアドレスを入れて、調査しておく。
安全のようだ・・・というか、このあたりで安全でないと表示されたら大変な事態だ 安全のようだ・・・というか、このあたりで安全でないと表示されたら大変な事態だ。

くどい? Malware Scanner「SUCURI SiteCheck」

くどい? Malware Scanner「SUCURI SiteCheck」 Malware Scannerで有名な「SUCURI SiteCheck」も試しておこう。
なんせ、ただURLアドレスを入れるだけ なんせ、ただURLアドレスを入れるだけ。
安全のようだ・・・というか、このあたりで安全でないと表示されたら大変な事態だ 良し。

今後

 OWASP Zed Attack Proxy で教えてくれた脆弱性を細かく対応してゆく。  ・・・ひとまず。

 

 

コメントをどうぞ

UP