IBM Support

Microsoft SharePoint をスキャンする際のガイドライン

技術情報(FAQs)


質問

[Japanese] IBM Security AppScan Standard で Microsoft Office SharePoint Portal Server を正常にスキャンするには、どのようにスキャンを構成したらよいですか。

原因

Microsoft Office SharePoint Portal Server は、Microsoft Office ファミリーに属するエンタープライズ情報ポータルです。 このタイプのアプリケーションを IBM Security AppScan Standard で正しくスキャンするためには、以下の情報にある構成方法に従う必要があります。

回答

1. 権限の問題:

管理者権限を持つアカウントでのスキャンは回避することが推奨されます。 管理者は新規記事を追加する権限を持っています。 IBM Security AppScan Standard は、編集/追加 リンクやページにアクセスすることで、記事を追加や削除しますが、これはスキャンが進行するにつれ、無制限にリンクが生成され、スキャンが決して終了しないことを意味します。

<注意>
管理者権限を持つアカウントで Microsoft SharePoint をスキャンすると、Java Script 実行 (JSX) がオフであっても、5000 以上の URL が発見され 3,000,000 のテストがに生成されます。匿名アクセスの権限を持つアカウントでテストする場合は、1100 URLが探査されます。

スキャンを行うには、匿名ユーザー あるいは 読み取りグループのメンバーの権限を使用することが推奨されます。仮に、より広い権限を持つユーザー権限で検査をしなければならない場合は、記事を追加できるようにするページを避け、個々に検査を行わなければなりません。

2. Microsoft SharePoint ビルト・イン グループ:

以下は、指定されたアカウントにアクセスできるすべてのタイプのリストです。

  • 読み取り - Webサイトに対して読み取り専用アクセス権限を持ちます。
  • 投稿 - 既存のリストとドキュメント・ライブラリ内にコンテンツを追加、編集できます。
  • デザイン - リストおよびドキュメント・ライブラリを作成、ページを編集できます。
  • 管理者 - サイトの全制御権を持ちます。
  • コンテンツ管理者 - 領域、リスト、ライブラリー、および サイトを作成し、管理することができます。
  • メンバー - ビューと個人のポータル・サイトのコンテンツおよびサイトを作成します。

3. 匿名アクセスのセットアップ:

    1. Microsoft SharePoint サーバー上で、http://localhost/_layouts/1033/spanon.aspx へアクセスします。
    2. すべての領域およびリストにアクセスする匿名のユーザーを追加します。
    3. "インターネットインフォメーションサービス (IIS) の構成で、Microsoft SharePoint サイトへの匿名アクセスを有効にします。


<注意>
匿名ユーザーを有効にすると、ポータルはアクセス者がデフォルトで匿名であると想定し、管理用のリンクを隠します。このため、管理者用のリンクにアクセスするためには、強制的にブラウズする必要があります。

4. プラットフォーム認証:

匿名アクセスを使用しない場合、IBM Security AppScan Standard の [スキャン] > [スキャン構成] > [HTTP認証] へテスト・ユーザーのユーザー名、パスワード、ドメインを設定します。

5. 推奨される除外操作について:

管理者権限を持つユーザーを使用してスキャンする場合は、[スキャン] > [スキャン構成] > [除外するパスおよびファイル] へ、以下の除外を入力することをお勧めします。

.*/Deleteweb.aspx

このページは、ポータル全体を削除するための選択肢を含みます ( このページは、IBM Security AppScan Standard のデフォルトで除外に設定されています)。

.*/PortalProperties.aspx

デフォルトで、IBM Security AppScan Standard は、サイト名および主なプロパティーの値を 1234 へ変更します。 (これを避けるには、各値をあらかじめ [スキャン] > [スキャン構成] > [フォームの自動入力] へ正しく設定しておく必要があります。) サイトのロゴも表示されなくなります。

<注意>
他にも、IBM Security AppScan Standard のアクセスによって好ましくない結果に陥る可能性のある、慎重に扱う必要のあるページがあります。 管理者権限によるスキャンの後には、以前のバックアップからサイトを復元できるよう、あらかじめ準備してください。

6. スキャンのパフォーマンス:

サイトが非常に大きいため、スキャンに使用するマシンは非常にパワフルである必要があります。 サイトそのものも、使用可能なリソースが十分にある別のマシンに配置されている必要があり、Microsoft SharePoint データベースは、更に別のマシン上にインストールされることをお勧めします。

Microsoft SharePoint が含まれているサーバー上の IIS は、最大限のパフォーマンスを発揮するよう構成されている必要があります。IIS のパフォーマンスを向上させるための方法に関しては、以下のリンクを参照します。


http://technet.microsoft.com/ja-jp/library/bb742402.aspx

7. Java Scriptの実行:

Java Script の実行がオンになっていない場合、下記のリンクが頻繁にテストされていることが表示されます。http://server_name/_layouts/1033/error.aspx?ErrorText=Your+browser+does+not+support+scripts+This+page+requires+scripts+in+order+to+display+properly

アプリケーションのカバー範囲を最大限にするためには、Java Script の実行をオンにする必要があります。

8. テンプレートに基づくページ:

Microsoft SharePoint サイトでは URL Rewriting に似たテンプレートに基づくページがよく使用されていす。 こういった場合、技術文書 1450056: 大型のサイトに対するスキャンやジョブの最適化について技術文書 1450679: URL Rewriting を使用しているサイトに対する AppScan の設定について、に記されている例によりIBM Security AppScan Standard をセットアップします。

スキャンされるページの数を制限する別の方法は、マニュアル探査を行い、[スキャン] > [テストのみ] でテストを実行することです。

9. よくある検知精度に関する質問について:

スキャンを実行すると以下の脆弱性が表示されることがあります。 これらが誤検知であるかどうかは以下をそれぞれ確認する必要があります:

  • ファイルの別バージョンを検知/Lotus Dominoデータベースをダウンロード

    この脆弱性は、通常、カスタム・エラー・ページが正しく設定されていないために発生します。カスタム・エラー・ページに以下の文字列を追加します。
    注. Microsoft SharePoint の日本語環境にみあったエラーページの文字列を追加する必要があります。例は英語版にのみ適用可能です)

    Invalid file name for monitoring
    Cannot run Windows SharePoint Services on this page
  • ブラインド SQL インジェクション

    投稿の権限があるユーザーでスキャンした場合、IBM Security AppScan Standard では非常に多くのブラインド SQL インジェクションを誤検知することが確認されています。スレッドの数を 1 に変更して、再テストを行い、検出数が減るかどうかを確認してください。

10. 実共通脆弱性:

  • 符号のない __VIEWSTATE パラメーター

    http://server_name/_layouts/1033/newgrp.aspx ページに脆弱性があります。 HTML 中、input に hidden の _VIEWSTATE が存在し、この値は、Rational AppScan Encode/Decode ツール ( [ツール] > [パワー・ツール] > [エンコード/デコード] ) の Base64 を使用してデコードすることができます。
  • ASP.NET Custom Error のパス開示

    ASP.NET は、パスの開示に対して脆弱です。 カスタム・エラーがオンの場合に、「~」記号が不適切に使用されていることが原因です。 c:\path_to_inexistent_file を HTML 応答中に検出することが可能です。

Microsoft Share Point の詳細については、以下のウィキペディアにて参照することができます。
http://ja.wikipedia.org/wiki/Windows_SharePoint_Services

関連情報

Microsoft Share Point の詳細
An US English translation is available

Document information

More support for: IBM Security AppScan Standard
Security Rules

Software version: 9.0, 9.0.0.1

Operating system(s): Windows

Reference #: 1575880

Modified date: 25 December 2011


Translate this page: