追加の認証手順なしのWeb管理ポータルのリスク
哲学的な質問の詳細については、攻撃者が大きな影響を与えることを許可するが、それ自体ではその影響を引き起こすために使用できない1つの動作があると仮定します。たとえば、まだ認証が必要であるにもかかわらず、インターネットにアクセス可能な管理ポータルには、IPホワイトリストも2FAもありません。
攻撃者が管理ポータルを使用してシェルをアップロードし、サーバー全体を危険にさらす可能性があるとします。
管理ポータル認証の制御を緩めただけを脆弱性として分類しますか?
はいの場合、CVSSスコアは何だと思いますか。
リスク?ここでは、影響は大きいと思いますが、その可能性は、誰かが有効な資格情報を取得することがどれほど簡単であるかに関連しています。ほとんどの場合、それは非常に低いはずです)
ポータルを実際に使用するには有効な資格情報が必要なので、これは脆弱性ではないと思います。でも色んな意見がある人がいるので他の人の考えも見てみたいです。
これは、弾丸(資格情報)のない銃(管理ポータル)に似ています。なんとか弾丸を手に入れられた場合にのみ危険です。
それは興味深い質問で、私が正しく答えられるかどうかはわかりません。しかし、とにかくここに私の考えがあります。
それは脆弱性ではありません。脆弱性は悪用される可能性があるものであり、悪用される可能性がある場合は脆弱性ではありません。 。認証に強力なパスワードが必要な場合、IPホワイトリストの欠如は悪用できるものではありません。
それはおそらく弱点です。弱点は技術的に間違っているか不完全であり、場合によっては脆弱性につながる可能性があります(必ずしもそうとは限りません)。 。では、特定のIPだけにアクセスする必要があると確信しているのに、なぜランダムなIPを管理パネルに接続させる必要があるのでしょうか。最善で完璧な理想的な方法は、IPホワイトリストを使用することです。したがって、IPホワイトリストがないことは一種の弱点になります。必ずしも脆弱性につながるとは限りませんが、そうなる可能性があります。例:攻撃者がショルダーサーフィンによって管理者のパスワードを盗んだとします。攻撃者は地下室に戻り、接続を試みます。IPホワイトリストがある場合、攻撃者は失敗します。しかし、IPホワイトリストがない場合は、弱点だけだったものが脆弱性になります。
CWE(Common Weakness Enumeration)は、実際には弱点のリストに「単一要素認証の使用」が含まれていることに注意してください: CWE-308 。
したがって、私の意見では、この場合のIPホワイトリストの実装は、実際には弱点から保護し、何か問題が発生した場合に脆弱性になるのを防ぐため、多層防御として定義できます。
管理ポータルが認証を必要とする場合、定義上、「公開」されていません。
IPフィルタリングまたは2FAはセキュリティの追加レイヤーであり、役立つことはできますが、常に可能であるか、または価値があるとは限りません。その結果、これは確かに脆弱性ではなく、CVSSスコアは適用されません。
もちろん、それは常にユースケースに依存します。匿名の猫の写真投票サイトの管理ポータルは、IPフィルタリングや2FAがなければ、おそらく完璧です。ただし、核ミサイルを起動するためのWebポータルはそうではありません(実際、そもそもなぜWebポータルさえあるのですか!!!)。
リスク、脆弱性、影響の計算は少し異なります。
通常、弱い認証メカニズムは脆弱性ではなくリスクです。これまでに説明したシナリオでは、誰かがアクセス(質的分析)することの影響が重要です(破局的、深刻など)。しかし、発生率は低いです(不明瞭、認証メカニズム(エクスプロイト)に既知の脆弱性がないなど)。最後のアプローチは定量的なリスク分析です。誰かが侵害した場合、材料やリソースで何が失われるでしょうか。カード番号はありますか?アカウントにアクセスしますか?暗号通貨ウォレット?評判が落ちてビジネスが落ちる?はいの場合、リスクは高く、そうでない場合は中程度です(ただし、それはあなたが最も重視するものに依存します)。
あなたの推論にはいくつかの欠陥があります。
または例:インターネットにアクセスできる管理ポータル。認証は必要ですが、IPホワイトリストも2FAもありません。
プレーン認証が脅威とならないほど「十分」である場合、なぜIPホワイトリストが推奨されたのか、または最近いくつかの欠陥がありながら2FAが大幅にプッシュされているのかを考えてみてください。単純な認証に代わるものは何もありません。これは脆弱性ではなく、完全な過失です。
ポータルを実際に使用するには有効な資格情報が必要なので、これは脆弱性ではないと思います。
これは、弾丸(資格情報)のない銃(管理ポータル)に似ています。なんとかして弾丸を手に入れられた場合にのみ危険です。
銃は弾丸がある場合にのみ危険ですか?そのような考えは、あなたがこれを所有するべきだという確信を私に植え付けません。
- アンロードされた銃器は、酒屋を奪うためにまだ使用できます。
- おもちゃのレプリカを使用している子供たちは警察によって殺されました。
- 多くの俳優が、ブランクが装填されたプロップガンによって殺されました。
これらのシナリオのそれぞれに弾丸はありませんでした。銃自体の存在が脅威です-弾丸は増幅要素にすぎないため、武装強盗を犯したときに裁判所が弾丸を所有しているかどうかを裁判所が気にしませんまたは回避。重要なのは、銃-または何かのように見える何かが犯罪の委託に関与したということです。
(弾丸の所持は、意図を評価する際の過失致死事件でより重要になります。アンロードされた銃器で捕まったときに殺すつもりだったと主張するのは難しいです。しかし、ほとんどのコンピューター犯罪は、なんらかの形の盗難に関するものです。)
塩素、アンモニア、溶剤、ガソリンなども同様です。それらが互いに組み合わされたときに即時の危険になるだけである、または発火源がそれらが孤立して「脅威ではない」という意味ではありません。
核廃棄物はより良いアナロジーです。作成する場合は、安全に処理する方法を理解する必要があります-作成しない場合、脅威がでない唯一の方法であるためですそもそもそれ。
ここでは、影響は大きいと思いますが、その可能性は、誰かが有効な資格情報を取得するのがどれほど簡単であるかに関連しています。
これも素朴です。ここでのシナリオは抽象的なものですが、私の専門的経験では、人々がよりよく知っているはずのエンタープライズレベルで、パスワードが一般的な1000リストにある、または会社名から派生したサービスアカウントを見てきました。ユーザーアカウントがよくなることはめったにありません。
nerringlyアカウントは、システム管理者が彼のGrindrアカウントに本番システム用と同じパスワードを使用していないという事実を説明できますか?
さらに、資格情報自体を知っている必要は必ずしもありません。これはWebポータルだとおっしゃっていました。有効な資格情報を使用してユーザーのセッションをハイジャックしても同様に機能し、簡単にプルオフできます。
ユーザーはインテリジェントであり、すべてが正しく行われていると推定されるため、資格情報の侵害のリスクが低いと想定することはできません。彼らがいる時でさえ、時々彼らの知識や制御を超えたことが起こります。
管理ポータルは、管理エンティティのネットワーク内から管理ユーザーのみがアクセスできるようにする必要があります。これらのコントロールがどのように実装されるかは、そのエンティティの課題ですが、そのようなエンドポイントを公衆インターネットに公開することで、非常に異なるユーザー層を招くことになります。どちらの場合も依然として脅威であり、前者はそうではありませんが、結局のところ、これが脅威かそうでないかを検討することは、意味論を主張し、本当の問題の邪魔になります。
管理ポータルは、アプリケーションへの神層のアクセスを許可するためにさまざまな方法で通過できるエンドポイントです。それが意味するところまで沈み込むまで、自分にそれを数回繰り返します。それが存在するという事実は脅威です。あなたができる最善のことは、あなたがサポートしようとするのと同じくらい多くの無許可のアクセスへの障害を置くことによってそれがどれだけの脅威であるかを減らすことです。