EC-CUBE Penetration Testing with OWASP ZAP

はじめに

Attention!! このツールは、サイトを実際に攻撃し、脆弱性が無いかを確認するツールです。 必ずローカル環境の Docker でのみ使用し、稼動中のサイトには決して使用しないでください。 意図せずデータが更新されたり、削除される場合があります。
テストは自己責任で実施し、株式会社イーシーキューブ及び、関連する開発コミュニティは一切の責任を負いかねますのであらかじめご了承ください。

手っ取り早くテスト環境を作成したい方のために Quick Start をご用意しました。

現在、このテストの自動化を進めています。試してみたい方は こちらの README をご覧ください。

このドキュメントは、EC-CUBE のリリース前に実施しているセキュリティテストを横展開し、より多くのユーザーに利用してもらうことを目的に作成しています。 単なる手順書のみではなく、テストに対する考え方、改善方法なども含まれています。

ここで使用する OWASP ZAP は、とても強力なツールですが、 十分にテストするためには、EC-CUBE 特有の問題を乗り越える必要があります。 テストの結果、セキュリティの欠陥が発見されなかったとしても、テストが不十分で検出されなかった可能性もあります。

テスト結果のみを過信せず、専門家への調査依頼も併用すると、より強固なセキュリティ環境が構築できます。

イントロダクション

• 対象の読者

セキュリティテストについて

• セキュリティテストの種類
• ウェブアプリケーション侵入テストについて
• ウェブアプリケーション侵入テストの構成

OWASP ZAP について

• OWASP ZAP でのテストの流れ

テスト計画

• テストの背景、目的
• テスト対象
• テスト戦略
• スケジューリングの目安
• テスト結果の評価方法

テストの実施

• 環境構築
• テストの実施における注意事項
• テストが止まらないようにするための修正
• コンテキストの分類
• 手動探索の仕方
• 動的スキャンの仕方
• テスト対象のURL一覧

テスト評価

• レポート出力
• セキュリティアラートの評価方法
• 誤検知かどうかの判定

セキュリティの改善

• セキュリティホールを発見した場合
• 脆弱性の報告方法
• EC-CUBE本体への反映
• テスト方法の改善