EC-CUBEの脆弱性をチェック!
あけましておめでとうございます。
本年もクロスキューブをよろしくお願いいたします。
さて、昨年末にEC-CUBE2.4.1に考えられ無い様な脆弱性が発見され、即修正されていました。
この脆弱性が公表される前に、私たちの様なEC-CUBEインテグレートパートナーには事前に連絡が回っていた為、被害は出ていなかった様ですが、内容を聞いて驚きました。
電話やFAXでの注文を管理者が登録出来る様に、新しく管理画面より受注情報を入力出来る機能が追加されていたのですが、この受注情報入力時に「どの顧客からの注文か?」を顧客検索フォームから検索して入力します。
この顧客検索フォームは子ウィンドウで表示されるのですが、何とログインせずとも子ウィンドウのURLを直接叩けば顧客情報を検索、表示出来てしまっていたのです。
つまり、「顧客情報ダダ漏れ状態」だった訳です。
幸い、当方では該当するバージョンのEC-CUBEはまだお客様のサイトには利用しておらず、特に問題も無かったのですが、この脆弱性を知った時には驚きました。
通常、当方でEC-CUBEを使ってサイトを構築する際は、一通りチェックを行い、バグを発見した場合は修正して納品しています。
EC-CUBEはオープンソースであり、GPLで利用するのであれば全て自己責任となるので、バグを修正するのも利用者の自由(責任)です。
また、管理画面等の重要なページは、アクセス出来るIPの制限や、ポートの変更もしておいた方が良いでしょう。
ソフトウェアにバグは付き物なので、利用する際は必ず自分でチェックしてから利用しましょう。*1今回の様なバグであれば、一通りブラウザからチェックすれば簡単に発見出来るハズです。
ただ、クロスサイトスクリプティングやSQLインジェクション等の一般的なWebアプリの脆弱性を、手作業でひとつひとつチェックするのは大変です。
そこで今回は、簡単に使える簡易チェックツールをご紹介いたします。
WinでもMacでも使えるWebアプリの脆弱性チェックツール「Paros」
脆弱性チェックツールにはサーバーにインストールする物や、クライアントPC上でプロキシとして動作する物など、いくつかのタイプがありますが、今回はクライアントPCにインストールするだけで簡単に使えるプロキシタイプの「Paros」というソフトのご紹介です。
[公式サイト]http://www.parosproxy.org/
インストールや利用方法は検索すればすぐ他のサイトに詳しい説明が掲載されているので、ここでは割愛します。
Parosをインストール、起動し、ブラウザのプロキシ設定をParosに設定します。*2
この状態でEC-CUBEのサイトにアクセスすればParosでEC-CUBEのサイトのURLがセットされるので、Spiderでクロールし、scanすれば簡単なチェックが自動で実行されます。
非常に機能が多く、使いこなすにはちょっと時間がかかりますが、これだけでも意味はあります。(標準で、勝手にフォームを発見し、XSSやSQLインジェクションはチェックしてくれます。)
EC-CUBEに限った事ではありませんが、オープンソースのWebアプリを使う前には一度チェックすることをオススメします。
