Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開:Black Hat USA 2021
インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。
サイバーセキュリティツールベンダーのPortSwiggerは2021年8月4日(米国時間)、セキュリティカンファレンス「Black Hat USA 2021」(2021年7月31日〜8月5日、米ラスベガスで開催)で公開されたサイバーセキュリティ対策用のツールをブログ記事で紹介した。
公開れたのはインターネットを間接的に「grep」してWeb脆弱(ぜいじゃく)性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」だ。
WebアプリケーションやWebフレームワーク、オープンソースコンポーネントの欠陥の発見を目指すセキュリティ研究者やバグバウンティ(報奨金)ハンターに向く。WARCannonを使うことで、インターネット全体を対象に正規表現パターンで検索し、脆弱性の指標を調査できる。
低コストな並列処理で課題を解決
だが、このような調査を実行するには、数百TB(テラバイト)規模の膨大なデータ解析が必要になる。
WARCannonは、数百のCPUコアを使って、並列WARC(Webアーカイブの保存用ファイルフォーマット)処理を行う。低コスト化を実現するために、Amazon Web Services(AWS)の「スポットフリート」を採用し、同一リージョン内でデータ転送を実行する。
処理の対象となるのは、非営利団体Common CrawlがWebクロールによって収集したJavaScriptやHTML、CSSなどのWebサイトを構成するコードだ。
WARCannonのGitHubリポジトリには、「100ドル程度のコストで、400TBのデータを対象に、数多くの正規表現パターンを数時間で処理できる」と記されている。
処理結果はAWSの「Amazon S3」ストレージに格納され、ノード当たり最大100Gbpsの速度で取り出し可能だ。
労働集約型作業を乗数効果で拡張
WARCannonを開発したブラッド・ウッドワード氏は、WARCannonが生産性の乗数効果を実現すると述べている。同氏は、Observianのクラウドセキュリティアーキテクチャ担当プラクティスリードを務める人物だ。
「フレームワークやインテグレーション、技術、コンポーネントを調査して脆弱性を発見する作業は、非常に労働集約型だ。WARCannonを使えば、同じ労力で調査対象を格段に広げることができ、作業の成果を乗数効果で増やすことができる」(ウッドワード氏)
テストしやすい設計が特徴
ウッドワード氏によると、WARCannonはコードの単一バージョンをスケーリングできるように設計されている。ローカルで動作するものは、1回限りのテストでも、本格的な調査でも、全てそのまま大規模に実行できるという。
「こうした小規模テストが簡単にできるように作った。研究者は、自信を持って大規模な作業に取り掛かることができる」(ウッドワード氏)
さらに同氏は、WARCannonにはコストパフォーマンスを高めるために徹底的な調整が施されていると述べ、「最適化の結果、リソースの制約が厳しい研究者でも、Webスケールの分析ができる」と強調している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。
そもそも「脆弱性」とは何なのか――WannaCry後&リモートワーク時代の脆弱性対策
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。