本ページでは脆弱性について扱います。
本アプリケーションは認証局が信頼できるかどうかをどのように確認しますか?
ウェブサイト・スキャン中に、本アプリケーションはサイトの認証を発行した認証局(CA)の名前を、製品に同梱の信頼できるCAのリストに照らし合わせてチェックします。CAがリスト上の名前に一致しない場合、本アプリケーションは脆弱性をレポートします。信頼できるCAのリストは、レポートされた脆弱性詳細の証拠セクションで閲覧可能です。
「X.509認証件名CNがエンティティ名に一致しません」という脆弱性は何ですか?
本アプリケーションがウェブサイトをスキャンすると、サイトのセキュリティ認証の妥当性が確認されます。認証が無効である場合、攻撃者は介入者攻撃を起動可能であり、データストリームを完全に支配できます。有効なX.509認証の要件の1つは、その対象である共通名(CN)フィールドがそのアセットに関連する名前に一致しなければならないということです。例えば、"https://www.example.com/"で提示される認証において、CNは"www.example.com"でなければなりません。これに当てはまらない場合、本アプリケーションは脆弱性をレポートします。
認証局(CA)は認証を発行する前に、CAの認証実施規定(CPS)で指定されている通り、その認証をリクエストするエンティティの身元をチェックしなければなりません。
サーバーが弱いSSL暗号をサポートしているか、どのようにしたら判定できますか?
サーバーが弱い暗号をサポートしていると、本アプリケーションは脆弱性をレポートします:
脆弱性の詳細を読むことにより、この脆弱性について、および改善方法について学ぶことが可能です。
サーバーが弱いSSL暗号をサポートしているかどうか判定するには...
サーバー上にOpenSSLがインストールされていることを確認します。
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
サーバーが弱い暗号をサポートしていない場合、以下のエラーメッセージまたは類似のものが表示されます:
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
CONNECTED(00000003)
461:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:226:
サーバーがSSLv2をサポートしているか、どのようにしたら判定できますか?
SSLv2は、脆弱であることで知られるSSLの1バージョンです。サーバーがこれをサポートしていると、本アプリケーションは脆弱性をレポートします(以下のいずれかとなります):
脆弱性の詳細を読むことにより、これらの脆弱性について、および改善方法について学ぶことが可能です。
サーバーがSSLv2をサポートしているかどうか判定するには...
サーバー上にOpenSSLがインストールされていることを確認します。
ポート443がHTTPS接続を提供していると仮定して、以下のコマンドを実行します:# openssl s_client -ssl2 -connect SERVERNAME:443。
サーバーがSSLv2をサポートしていない場合、以下のエラーメッセージまたは類似のものが表示されます:
# openssl s_client -ssl2 -connect SERVERNAME:443
CONNECTED(00000003)
458:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake
failure:s2_pkt.c:428:
「確認済み」、「未確認」、および「潜在的」脆弱性の違いは何ですか?
本アプリケーションがアセットがスキャンすると、アセット、ポート、サービス、および各種サービス(Apache WebサーバーまたはIIS Webサーバーなど)の存在を検証するための、一連の発見が実行されます。その後、発見フェーズで収集された情報に基づきアセットがテストされ、そのアセットに関連する脆弱性がないかを調べます。脆弱性を検証できたら、「確認済み」脆弱性としてレポートされます。脆弱性をそのアセットと関連性があると検証できない場合、「未確認」または「潜在的」脆弱性としてレポートされます。「未確認」と「潜在的」の違いは、可能性のレベルです。未確認脆弱性は、潜在的脆弱性よりも存在の可能性が高いと、アセットのプロファイルに基づき判定されています。本セクションの潜在的脆弱性についてのFAQをご参照ください。
「潜在的脆弱性」とは何ですか?
本アプリケーションは、コンプライアンス監査のためペイメントカード業界(PCI)により義務付けられている、ソフトウェア・バージョンチェックを実行します。スキャン対象アセットにパッチまたはプロテクション機構がいくつ実装されているかに関わらず、脆弱であると知られるソフトウェアバージョンが見つかると脆弱性をフラグします。当該脆弱性が実際に存在すると証明できない場合に、「潜在的脆弱性」と分類します。
脆弱性の深刻度ランキングとは何を意味しますか?
本アプリケーションは、発見されたすべての脆弱性に対して、3つの深刻度ランキングのうちの1つを割り当てます:
本アプリケーションは、CVSSスコア、脆弱性日齢とまん延度、エクスプロイトの可用性を含む、さまざまな要因を使用して、深刻度を評価します。
本アプリケーションではどのような方法を用いて脆弱性を検出していますか?
本アプリケーションは通常、ハッカーに関連しているエクスプロイト・メソッドを使用して、レジストリ・キー、バナー、ソフトウェアバージョン番号、およびその他の感受性インジケータを検査します。