この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"?
「もしかしたら認証しないでアクセスできたりしないかな?」というような感じで、色々試したりします。
もちろん実際の診断作業では、検査する脆弱性項目に応じてある程度やることも定まっていて、作業内容もパターン化されています。あくまでイメージとして捉えていただければと思います。
辻氏
異常系のパターンを試すことで出てくるものや、脅威って何でしょう? 受ける側には「それの何が危ないの?」と言われるもあるかと思いますが。自分が経験した例だと、1時間半に渡って診断結果を説明しても「で? 危ないの?」と言われたこともありましたね。
洲崎氏
検出した脆弱性を説明するのってすごく難しいですよね。
脆弱性の種類によって、どういうことが起きてしまうのかは分かれますが、簡単に言ってしまえば、「本来できちゃいけないことができてしまう」ということなのかなと思っています。
プログラムが存在すれば、開発者が想定している仕様が当然あるわけで、その仕様となっていること以外は本来"出来てはいけない"んだと思います。
例えばECサイトとかで商品の購入履歴検索機能があったとします。
本来は自分の今まで購入した商品情報を検索するための機能なのに、もしなんらかの操作で、他人の購入情報まで検索できてしまったら問題ですよね?もし購入情報以外にも、他の情報、例えば、登録されているアカウント情報やシステム内部情報とかも検索できてしまったらすごくまずいですよね?
アプリケーションの造りが悪く、脆弱性が存在すると、そういうことが可能だったりします。