質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

Q&A

解決済

3回答

8063閲覧

脆弱性について教えて下さい。

lingwood

総合スコア40

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

0グッド

2クリップ

投稿2017/06/27 06:21

編集2017/06/27 07:25

お世話になります。
博識なエンジニアの皆様にお伺いいたしたく、
ご教授いただけませんでしょうか。

状況としては、WordPressでお客様のサイトを構築し、
最後に脆弱性検査なるものを受けましたところ、
高判定が出てしまいました。

いくつかある中で、以下の重大なものについては
直さなくはならず、ものすごい長いレポートを
頂いたのですが、ネットで調べても全く意味が分かりません。

・クロスサイト・スクリプティング
・フレームからのフィッシング

どのような情報をこちらに書いて、
何をすべきかが全く分からないでおります。

プラグインなどが悪い、ということでしょうか?
もしくはプラグインで改善することはできないのでしょうか?

エラー?内容ですが、以下のような感じで出ています。
********************************
CVSS スコア: 7.5
URL: ***すみません割愛させていただきます。***
エンティティー:(Page)
リスク:
ハッカーが正規のユーザーになりすまし、ユーザーのレコードを表示または改変したり、ユーザーとしてトランザクションを実行するのに使用することができる、カスタマー・セッションおよび Cookie を盗み出したり操作することができる可能性があります
原因: ユーザーの入力において、有害文字の除去が適切に行われませんでした
修正: 有害な文字のインジェクションに対して考えられる解決策を確認します

*********************************

意味が全くわからないことばかりでして、
脆弱性についてご教授ならびに上記課題につきまして
ご指南をいただけないでしょうか。

お忙しい最中大変恐縮いたしますが、
何卒よろしくお願い申し上げます。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mattn

2017/06/27 06:21

虚弱性ではなく脆弱性です。
pashango2

2017/06/27 06:30 編集

虚弱性ではなく脆弱性です。Workpressのバージョンとどのプラグインを使ったかを記載しないと答えようがありません。
lingwood

2017/06/27 06:33

mattn 様、pashango2 様 さっそくのご指南ありがとうございます。恥ずかしながら表現修正いたしました。WordPressのバージョンとプラグインについて後ほど追記させていただきます。ありがとうございます。
m.ts10806

2017/06/27 06:48 編集

既に指摘があるかと思いますが、「うちのサイトは脆弱性があるよ!」という情報をばら撒いているだけなので、質問を停止し、当該質問を削除依頼されることをススメます。あとはmattnさんの仰るように専門の人に依頼です。ただ、指摘の脆弱性がどのような攻撃にあう可能性があるのかは勉強しておいてください。
lingwood

2017/06/27 07:12

mts10806 様 お世話になります。ご指摘を頂き誠にありがとうございます。承知いたしました。脆弱性について少しずつでも知っておくようにします。
guest

回答3

0

ベストアンサー

まず回答の前に言っておきます。お金を出してでも専門の人に直して貰って下さい。直したつもりが直ってなくてサイトをクラックされた、なんて事になったら一大事ですし、お客様からの信用はガタオチです。


質問内容のレポート内容を見せて頂いたなかで判断すると、最初のはコーディングミスに起因する脆弱性です。例えば画面の input タグから文字列を受け取り、その内容を加工するなどして再度画面に表示する場合

php

1<div> 2<?php 3echo $str; 4?> 5</div>

といった事をやる事がありますが、もし $str の内容が

html

1<script>alert</script>

だとすれば、そして悪意のある人がそれを入力したとすれば画面を見ただけでアラート画面が表示されてしまう訳です。それはそれでサイケデリックで楽しいかもしれませんが、少し頑張れば画面を見ただけで WordPress にログインしていたユーザのパスワードを勝手に変更する、なんて事も出来なくはありません。
正しくはエスケープ関数を使用して画面に出力すべきです。これはテンプレートが自動で行ってくれたり自前でエスケープしたり色々な方法があります。出来ればお調べになってやられた方が良いと思います。また例として input タグからの値としましたが、これは例えば URL のクエリパラメータも同じ話です。

もう一つは、御社のページがぜんぜん知らない人のサイトのフレームの一部や iframe として使われかねないという脆弱性です。
いやー気持ち悪いですねー。さらにいうとその上に div 要素を重ねられて御社のログイン画面で入力したつもりのパスワードを抜き取られる、なんて事も可能です。怖いですねー。

で、これを直すには X-Frame-OptionsSAMEORIGIN という値を設定するだけなのでそれほど難しくありません。
ですが質問文からは全てが読み取れません。出来ればこのサイト上でも公開しない方が良いでしょう。
そしてもう一回言います。分かる方に直してもらって下さい。

投稿2017/06/27 06:37

mattn

総合スコア5030

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

lingwood

2017/06/27 06:55

mattn 様 お世話になります。 親身ご回答いただきまして、 本当にありがとうございます。 修正方針につきましてはご指南いただきました通り、 一度社内で検討したいと思います。 もう1つ、2つご質問させて下さい。 高判定のものを取り急ぎ直せばよいらしいのですが、 「3つ」というのは平均的に多いのでしょうか? また、LIGさんのブログでbulletproof-security.1.1というプラグインが 紹介されていましたがあまり効果はないものなのでしょうか? このような問題について、普通のWeb担当者は意外と詳しく知っているもの なのでしょうか? いろいろと質問してしまってすみませんが、 ご教授いただけませんでしょうか? お手数ですが、よろしくお願い致します。
mattn

2017/06/27 07:00

bulletproof-security を試した事がないので分かりませんが、説明を見る限り有効そうな事が書かれていますが、問題はこれらの脆弱性がどの様な物かご存じないという所なのです。bulletproof-security を入れたとしてもそれが直っているのかどうか、確認する方法をご存じないのです。これは専門でないのでしょうがない話です。 で、Web担当者が知っているのかという話ですがスキルによります。この辺が分かっていて作る時からこういった脆弱性を組み込まない様に作るエンジニアもいればまったく知らずに穴だらけというエンジニアもいます。
lingwood

2017/06/27 07:10

ありがとうございます。十人十色ということですね。 お恥ずかしい話、私は後者の類です・・・TT 本当にご指摘ありがとうございます。
guest

0

質問された内容から、PHPをご自分で書いておらずプラグインですべて機能を実装していると仮定します。

WordPress 4.6.6

https://japan.zdnet.com/article/35095803/

このバージョンはXSSの脆弱性があります、基本的にバージョンは最新にしておいた方がよいでしょう。
見たところあまりプラグインを使っていないようですが、プラグインも同様に最新のものの方がセキュリティは高いはずです。

あとはテンプレートを独自に書いている場合ですが、こちらは私達には何とも判断が付きません。
mattnさんのご指摘の通りに、専門の方に1回診てもらうのも良いかと思います。

ちなみに付け加えておくと、指摘されている脆弱性はサーバーが乗っ取られる可能性がある、非常に危険なものです。

投稿2017/06/27 06:52

編集2017/06/27 06:57
pashango2

総合スコア930

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

lingwood

2017/06/27 07:05

pashango2 様 お世話になります。 ご回答ありがとうございます。 おっしゃられます通りPHPはほとんど書いておらず、 ネットで調べた情報を組み合わせて作成いたしました。 バージョンはお客様の指定により4.6.6以外の使用は禁止されておりまして、 コアファイルをいじったりバージョンアップも不可です。 プラグイン等で回避する方法はないのでしょうか・・・?
pashango2

2017/06/27 07:28

WordPressは世界的に使用されているため、危険な脆弱性が発見されやすいのです。 ですので、アップデートを強く推奨されてるわけです、逆に言うとバージョンアップしないと年々脆弱性が増えていきます。 http://news.mynavi.jp/news/2017/05/19/078/ たとえ、プラグインで回避できたとしても新しい脆弱性が出てきます、どっちにしろプラグインも頻繁にアップデートしなければセキュリティは担保できません。 断定はできませんが、PHPをほぼ書いていないということなので脆弱性はWordPressのコアにある可能性があります。 客先の指定なので何とも言えませんが、こちらで出来ることはセキュリティ系のプラグインを入れることだけですね、それは客先にリスクとして伝えておく必要があると思います。
lingwood

2017/06/27 07:54

pashango2 様 ありがとうございます。 そのお言葉で希望が持てた気がします。 今回はBAをmattn様にさせていただくこととなり、すみません。 とても親身になって下さいまして、本当にありがとうございます。 またの際にも何卒よろしくお願い申し上げます。
guest

0

脆弱性にしても、このレベルの事はwebで質問してなんとかなるようなものでは無いような・・・
とりあえずIPAの方に安全なウェブサイトの作り方などのドキュメントがあるので、一通り読んでから、ひとつひとつ質問を考えていった方が良いかと思います。

投稿2017/06/27 06:30

yoorwm

総合スコア1305

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

lingwood

2017/06/27 06:56

yoorwm様 お世話になります。ご返信ありがとうございます。 よく読んでみたいと思います。 本当にすみません、ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問