Comments
Description
Transcript
3.1 APIリリースノート
QualysGuard® WAS 3.1 API リリースノート 2013 年 11 月 4 日 QualysGuard Web Application Scanning(WAS)3.1 では、WAS API で次の新しい機能拡張が行われており、ここ ではこれらについてすべて説明します。 認証レコードを管理するための新しい API XML 形式の WAS レポート – 検出内容の Base64 エンコード化 認証レコードを管理するための新しい API これまでのリリースと同様、認証機能を使用して、Web アプリケーションのより詳細な評価を実行し、脆弱性を検出 して検証することができます。フォーム(Basic、Selenium スクリプト)やサーバ認証(Basic、Digest、NTLM、SSL)な ど、さまざまな認証メソッドに対応しています。認証を使用するには、認証レコードを設定し、設定したレコードとス キャンする Web アプリケーションを関連付けて、使用する認証メソッドを指定します。 WAS 3.1 では、認証レコードを管理するための WebAppAuthRecord という新しい API が導入されました。この新し い API では次のことを実行できます。 • 認証レコードを Web アプリケーション設定と別に管理する • 認証レコードを簡単に作成し、作成した 1 つのレコードを複数の Web アプリケーションに関連付ける • 作成、更新、削除、詳細の取得、検索、カウントなど、認証レコードに関するすべての処理を実行する 新しい WebAppAuthRecord リソースは次の URL にあります。 https://qualysapi.qualys.com/qps/ rest/3.0/<処理>/was/webappauthrecord (“ qualysapi.qualys.com ”は QualysGuard プラットフォーム用の QualysGuard API サーバの URL です。ここでは、 US プラットフォーム 1 になります。) 重要! このリリースで Web アプリケーション API(WebApp)が更新されました。Web ア プリケーション API を使用した認証レコードの管理(作成、更新、削除など)はで きなくなりました。代わりに新しい認証レコード API を使用します。 既存の認証レコードについては、特別な作業は必要ありません。レコードで定義 されている認証のメソッドを使用して、Web アプリケーションがスキャンされます。 新しいレコードを作成したり既存のレコードを更新したりするには、新しい認証レ コード API を使用する必要があります。 無断複写・転載を禁じます。2013 年 クォリスジャパン株式会社 1 API の機能拡張の概要 新しい認証レコード API サポートされる処理 - 新しい WebAppAuthRecord API では次の処理を行うことができます。<基本 URL> は、ご使 用のアカウントが所属している QualysGuard プラットフォームの API サーバの URL です。 処理 URL 認証レコードのカウント <基本 URL>/qps/3.0/count/was/webappauthrecord 認証レコードの検索 <基本 URL>/qps//3.0/search/was/webappauthrecord 認証レコードの詳細の取得 <基本 URL>/qps//3.0/get/was/webappauthrecord 新しい認証レコードの作成 <基本 URL>/qps//3.0/create/was/webappauthrecord 認証レコードの更新 <基本 URL>/qps//3.0/update/was/webappauthrecord 認証レコードの削除 <基本 URL>/qps//3.0/delete/was/webappauthrecord 新しい XSD - WebAppAuthRecord オブジェクトは WebApp オブジェクトとは別になります。新しく webappauthrecord.xsd(…/qps/xsd/3.0/was/webappauthrecord.xsd)になります。WebAppAuthRecord オブジェクトに は次の新しい属性が含まれます。 <xs:complexType name="WebAppAuthRecord"> <xs:all> <xs:element name="id" type="xs:long" minOccurs="0"/> <xs:element name="name" type="Cdata" minOccurs="0"/> <xs:element name="owner" type="User" minOccurs="0"/> <xs:element name="formRecord" type="WebAppAuthFormRecord" minOccurs="0"/> <xs:element name="serverRecord" type="WebAppAuthServerRecord" minOccurs="0"/> <xs:element name="tags" type="TagList" minOccurs="0"/> <xs:element name="comments" type="CommentList" minOccurs="0"/> <xs:element name="createdDate" type="xs:dateTime" /> <xs:element name="createdBy" type="User" /> <xs:element name="updatedDate" type="xs:dateTime" /> <xs:element name="updatedBy" type="User" /> </xs:all> </xs:complexType> Web アプリケーション API の変更点 このリリースで WebApp API が更新されました。 サポートされる処理 – 次の 2 つの変更点に注意してください。 1)作成処理と更新処理を使用して、認証レコードを Web アプリケーションに関連付けます(以前のように Web ア プリケーション設定内でレコードを作成することはできません)。API リクエストでは、入力として id 要素を指定する のみです。 2)Web アプリケーションの表示および詳細の取得の API リクエスト(検索処理と取得処理)では、Web アプリケー ションの ID と名前のみが返されます。 QualysGuard WAS API リリースノート 2 XSD の更新 - webapp.xsd が更新されました(…/qps/xsd/3.0/was/webapp.xsd)。次の変更点に注意してください。 1)WebApp オブジェクトには、引き続き WebAppAuthRecord 要素のリストが含まれます(変更なし)。 <xs:complexType name="WebApp"> <xs:all> ... <xs:element name="authRecords" type="WebAppAuthRecordList" minOccurs="0"/> ... </xs:all> </xs:complexType> 2)WebAppAuthRecord 要素では、id 属性と name 属性のみを使用できます(その他の属性は使用できなくなりました)。 <xs:complexType name="WebAppAuthRecord"> <xs:all> <xs:element name="id" type="xs:long" minOccurs="0"/> <xs:element name="name" type="Cdata" minOccurs="0"/> </xs:all> </xs:complexType> QualysGuard WAS API リリースノート 3 認証レコードを作成してスキャンに適用する方法 WAS API バージョン 3.1 で個別の認証レコードを作成し、作成したレコードを Web アプリケーションに関連付けま す。これにより、Web アプリケーションに対して認証スキャンを開始できるようになります。 ステップ 1: 認証レコードの作成 新しい認証レコードを作成して Web アプリケーションの認証方法を指定します。次のリクエストの例は、フォーム認 証が使用されることを示しています。それぞれの Web アプリケーションの必要に応じて、複数の認証レコードを作 成できます(Web アプリケーション認証レコードに関するパーミッションのうち、認証レコードの新規作成のパーミッ ションが付与されている必要があります)。 リクエスト: curl -u "USERNAME:PASSWORD" -H "Content-type: text/xml" -X "POST" --data-binary @"https://qualysapi.qualys.com/qps/rest/3.0/create/was/webappauthrecord/" < file.xml 注記: file.xml には、リクエスト POST データが含まれます。 リクエスト POST データ: <?xml version="1.0" encoding="UTF-8"?> <ServiceRequest> <data> <WebAppAuthRecord> <name><![CDATA[From API - Form]]></name> <formRecord> <type>STANDARD</type> <sslOnly>true</sslOnly> <fields> <set> <WebAppAuthFormRecordField> <name><![CDATA[password]]></name> <value><![CDATA[12345]]></value> </WebAppAuthFormRecordField> <WebAppAuthFormRecordField> <name><![CDATA[username]]></name> <value><![CDATA[user]]></value> </WebAppAuthFormRecordField> </set> </fields> </formRecord> <comments> <set> <Comment> <contents><![CDATA[This is a comment]]></contents> </Comment> </set> </comments> <tags> <set> <Tag> <id>102609</id> </Tag> </set> </tags> </WebAppAuthRecord> </data> </ServiceRequest> QualysGuard WAS API リリースノート 4 応答: <?xml version="1.0" encoding="UTF-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="https://qualysapi.qualys.com/qps/xsd/3.0/was/webappauth record.xsd"> <responseCode>SUCCESS</responseCode> <count>1</count> <data> <WebAppAuthRecord> <id>1037</id> <name><![CDATA[From API - Form]]></name> <owner> <id>123056</id> <username>username</username> <firstName><![CDATA[Rodnina]]></firstName> <lastName><![CDATA[Rocker]]></lastName> </owner> <formRecord> <type>STANDARD</type> <sslOnly>true</sslOnly> <fields> <count>8</count> <list> <WebAppAuthFormRecordField> <id>1196</id> <name><![CDATA[password]]></name> <value><![CDATA[abc123]]></value> </WebAppAuthFormRecordField> <WebAppAuthFormRecordField> <id>1154</id> <name><![CDATA[username]]></name> <value><![CDATA[admin]]></value> </WebAppAuthFormRecordField> </list> </fields> </formRecord> <tags> <count>1</count> </tags> <comments> <count>1</count> </comments> <createdDate>2009-02-05T17:10:41Z</createdDate> <updatedDate>2012-05-10T19:11:04Z</updatedDate> <updatedBy> <id>123056</id> <username>username</username> <firstName><![CDATA[Rodnina]]></firstName> <lastName><![CDATA[Rocker]]></lastName> </updatedBy> </WebAppAuthRecord> </data> </ServiceResponse> QualysGuard WAS API リリースノート 5 ステップ 2: Web アプリケーション設定への認証レコードの追加 認証先の各 Web アプリケーションを作成または更新して、Web アプリケーション設定に認証レコードを追加します。 作業は、認証レコード ID を追加するのみです。なお、複数の Web アプリケーションに同じ認証レコードを関連付 けることもできます(WAS アセットに関するパーミッションのうち、Web アプリケーションの作成/更新のパーミッショ ンがあれば、Web アプリケーション設定に認証レコードを追加することができます)。 リクエスト: curl -u "USERNAME:PASSWORD" -H "Content-type: text/xml" -X "POST" --data-binary @"https://qualysapi.qualys.com/qps/rest/3.0/update/was/webapp/324539" < file.xml 注記: file.xml には、リクエスト POST データが含まれます。 リクエスト POST データ: <ServiceRequest> <data> <WebApp> <authRecords> <add> <WebAppAuthRecord><id>1688</id></WebAppAuthRecord> <WebAppAuthRecord><id>1689</id></WebAppAuthRecord> <WebAppAuthRecord><id>1690</id></WebAppAuthRecord> <WebAppAuthRecord><id>1691</id></WebAppAuthRecord> </add> </authRecords> </WebApp> </data> </ServiceRequest> 応答: <?xml version="1.0" encoding="UTF-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/XMLSchemainstance" xsi:noNamespaceSchemaLocation="https://qualysapi.qualys.com/qps/xsd/3.0/was/webapp.xsd "> <responseCode>SUCCESS</responseCode> <count>1</count> <data> <WebApp> <id>324539</id> </WebApp> </data> </ServiceResponse> ステップ 3: Web アプリケーションの詳細の確認 Web アプリケーションの詳細には、すべての Web アプリケーション設定と追加した認証レコードが含まれます。ス キャンを実行すると、Web アプリケーションに関連付けられたすべてのレコードを使用して認証が試行されます。 リクエスト: curl -u "USERNAME:PASSWORD" -H "Content-type: text/xml" "https://qualysapi.qualys.com/qps/rest/3.0/get/was/webapp/324539" QualysGuard WAS API リリースノート 6 応答: <?xml version="1.0" encoding="UTF-8"?> <ServiceResponse xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://qualysapi.qualys.com/qps/xsd/3.0/was/webapp.xsd" > <responseCode>SUCCESS</responseCode> <count>1</count> <data> <WebApp> <id>324539</id> <name><![CDATA[my-web-app]]></name> <authRecords> <count>4</count> <list> <WebAppAuthRecord> <id>1688</id> <name><![CDATA[From API - Form]]></name> </WebAppAuthRecord> <WebAppAuthRecord> <id>1689</id> <name><![CDATA[From API - Selenium]]></name> </WebAppAuthRecord> <WebAppAuthRecord> <id>1690</id> <name><![CDATA[From API - Server]]></name> </WebAppAuthRecord> <WebAppAuthRecord> <id>1691</id> <name><![CDATA[From API – SSL Cert]]></name> </WebAppAuthRecord> </list> </authRecords> ... </WebApp> </data> </ServiceResponse> ステップ 4: スキャンの開始 次の URL にある WasScan API を使用してスキャンを開始します。 https://qualysapi.qualys.com/qps/rest/3.0/launch/was/wascan すべての機能の詳細について すべての API 呼び出しとサンプルの詳細については、『QualysGuard WAS API User Guide Version 3.1』を参照し てください。このガイドは、リリース時に「Resources」項(「Help」→「Resources」)からダウンロードできます。 QualysGuard WAS API リリースノート 7 XML 形式の WAS レポート – 検出内容の Base64 エンコード化 XML 形式のすべての WAS レポートで、検出内容が Base64 でエンコードされるようになりました。検出内容には、 脆弱性検出データ、収集情報、機密コンテンツがあります。API または UI を使用して WAS アプリケーションで作 成した XML 形式のデータを他のクライアントで利用している場合は、WAS の検索内容のデータを適切に処理で きるようにクライアントを更新してください。 Base64 でエンコードされる検出内容について スキャンおよび Web アプリケーションのすべての検索内容は、XML 形式の場合、Base64 でエンコードされます。 エンコードされる検出内容には、次のものがあります。 • 応答の実際の内容 • 応答で証拠が明確な場合は、その証拠の内容 • 収集情報データ Base64 でエンコードされたデータは通常、属性が“ base64=true ”に設定されます。次に例を示します。 <FINDING> <PAYLOAD><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157105156Y1Z)%3C%2Fscript %3E]]></PAYLOAD> <RESULT base64="true"><![CDATA[Cl9mZWVkKCgKCgpbCiI=]]></RESULT> </FINDING> “ base64=true ”属性が設定されていない場合、値はプレーンテキストになります。次に例を示します。 <FINDING> <PAYLOAD><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157105156Y1Z)%3C%2Fscript %3E]]></PAYLOAD> <RESULT><![CDATA[_feed(("]]></RESULT> </FINDING> 更新されたレポート 次の WAS レポートに表示される検出内容が Base64 でエンコードされるようになりました。 • WAS v3 スキャン結果 • Web アプリケーションレポート • Web アプリケーションスキャンレポート WAS v3 スキャン結果 脆弱性と機密コンテンツの検出内容 更新された要素: WasScan/vulns/list/WasScanVuln/instances/list/WasScanVulnInstance/payloads/list/WasSca nVulnPayload/result WasScan/sensitiveContents/list/WasScanSensitiveContent/instances/list/WasScanSensitive ContentInstance/payloads/list/WasScanSensitiveContentPayload/result QualysGuard WAS API リリースノート 8 スキャン結果の XML 出力例: <WasScanVuln> <qid>150001</qid> <title><![CDATA[Reflected Cross-Site Scripting (XSS) Vulnerabilities]]></title> <uri><![CDATA[http://myuri.apps.com/613460625329/feed.gtl?uid=%22'%3E%3Cqss%20a%3DX157 105156Y1Z%3E]]></uri> <param>uid</param> <instances> <count>1</count> <list> <WasScanVulnInstance> <authenticated>false</authenticated> <payloads> <count>4</count> <list> <WasScanVulnPayload> <payload><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157105156Y1Z)%3C%2Fscript%3E]]> </payload> <result base64="true"> <![CDATA[Cl9mZWVkKCgKCgpbCiI]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![CDATA[uid=%22'%3E%3Cqss%20a%3DX157105156Y1Z%3E]]></payload> <result base64="true"> <![CDATA[Cl9mZWVkKCgKCgpbCiIiJyZndDsmbHQ7cXNzIGE9WDE1NzEwNTE1NlkxWiZndDsiCgpdCgoKCikpC g]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![CDATA[uid=%00%3Cscript%3E_q%3Drandom(X157201836Y1Z)%3C%2Fscript%3E]]> </payload> <result base64="true"><![CDATA[Cl9mZWVkKCgKCgpbCiI]]></result> </WasScanVulnPayload> <WasScanVulnPayload> <payload><![CDATA[uid=%22'%3E%3Cqss%20a%3DX157201836Y1Z%3E]]></payload> <result base64="true"> <![CDATA[Cl9mZWVkKCgKCgpbCiIiJyZndDsmbHQ7cXNzIGE9WDE1NzIwMTgzNlkxWiZndDsiCgpdCgoKCikpC g]]></result> </WasScanVulnPayload> </list> </payloads> </WasScanVulnInstance> </list> </instances> </WasScanVuln> 収集情報の検出内容 更新された要素: WasScan/igs/list/WasScanIg/data スキャン結果の XML 出力例: <INFO> <QID>150044</QID> <TITLE><![CDATA[Login Form Is Not Submitted Via HTTPS]]></TITLE> <RESULT base64="true"> <![CDATA[RGVmYXVsdCBmb3JtIGFjdGlvbiBkb2VzIG5vdCBzdWJtaXQgdmlhIFNTTDogaHR0cDovL2dvb2ds ZS1ncnV5ZXJlLmFwcHNwb3QuY29tLzYxMzQ2MDYyNTMyOS9sb2dpbgo= ]]></RESULT> </INFO> QualysGuard WAS API リリースノート 9 Web アプリケーションレポート 脆弱性と機密コンテンツの検出内容 更新された要素: WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PA YLOAD/RESPONSE/CONTENTS WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAY LOADS/PAYLOAD/RESPONSE/CONTENTS WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PA YLOAD/RESPONSE/EVIDENCE WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAY LOADS/PAYLOAD/RESPONSE/EVIDENCE Web アプリケーションレポートの XML 出力例: <VULNERABILITY> <ID>5943</ID> <QID>150001</QID> <URL><![CDATA[http://myuri.apps.com/app/xss/0/1/0/xss.php?s='%20onEvent%3dX146470180Y1 Z%20]]></URL> <PARAM><![CDATA[s]]></PARAM> <AUTHENTICATION>Not Required</AUTHENTICATION> <STATUS>NEW</STATUS> <FIRST_TIME_DETECTED>2011-12-30T09:57:39Z</FIRST_TIME_DETECTED> <LAST_TIME_DETECTED>2011-12-30T09:57:39Z</LAST_TIME_DETECTED> <LAST_TIME_TESTED>2011-12-30T09:57:39Z</LAST_TIME_TESTED> <TIMES_DETECTED>1</TIMES_DETECTED> <PAYLOADS> <PAYLOAD> <NUM>1</NUM> <PAYLOAD><![CDATA[s='%20onEvent%3dX146470180Y1Z%20]]></PAYLOAD> <REQUEST/> <RESPONSE> <CONTENTS base64="true"><![CDATA[bGQiJmd0OyZsdDsmbHQ7L3NwYW4mZ3Q7ID0mZ3Q7ICZsdDtzcGFuIGNsYXNzPSJ ib2xkIiZndDsm YW1wO2x0OyZsdDsvc3BhbiZndDsmbHQ7YnImZ3Q7CiZsdDsvZGl2Jmd0OwombHQ7L2RpdiZndDsK Jmx0O2JyJmd0OwombHQ7ZGl2IGNsYXNzPSJwYXlsb2FkcyImZ3Q7Ck91dHB1dCBmcm9tIHJlcXVl c3QgJmx0O3NwYW4gY2xhc3M9ImJvbGQiJmd0Oy9jYXNzaXVtL3hzcy5waHA/dmFyaWFudD0wJmFt cDtxcz0xJmFtcDtmPTAmYW1wO3M9JyUyMG9uRXZlbnQlM2RYMTQ2NDcwMTgwWTFaJTIwJmx0Oy9z cGFuJmd0OwombHQ7YnImZ3Q7CiZsdDthIGhyZWY9J1wnIG9uRXZlbnQ9WDE0NjQ3MDE4MFkxWiAn Jmd0O3NhbXBsZSBsaW5rJmx0Oy9hJmd0OwombHQ7L2RpdiZndDsKJmx0O3NjcmlwdCZndDttYWlu KCkmbHQ7L3NjcmlwdCZndDsKJmx0Oy9ib2R5Jmd0OwombHQ7L2h0bWwmZ3Q7 ]]></CONTENTS> </RESPONSE> </PAYLOAD> </PAYLOADS> <IGNORED>false</IGNORED> </VULNERABILITY> 収集情報の検出内容 更新された要素: WAS_WEBAPP_REPORT/RESULTS/WEB_APPLICATION/INFORMATION_GATHERED_LIST/INFORMATION_GATHER ED/DATA QualysGuard WAS API リリースノート 10 Web アプリケーションレポートの XML 出力例: <INFORMATION_GATHERED_LIST> <INFORMATION_GATHERED> <ID>1529</ID> <QID>6</QID> <FIRST_TIME_DETECTED>2011-12-30T09:57:39Z</FIRST_TIME_DETECTED> <LAST_TIME_DETECTED>2011-12-30T09:57:39Z</LAST_TIME_DETECTED> <LAST_TIME_TESTED>2011-12-30T09:57:39Z</LAST_TIME_TESTED> <DATA base64="true"><![CDATA[I3RhYmxlCklQX2FkZHJlc3MgSG9zdF9uYW1lCgoxMC4xMC4yNi43NyBmdW5reXR vd24udnVsbi5x YS5xdWFseXMuY29tCg== ]]></DATA> </INFORMATION_GATHERED> <INFORMATION_GATHERED> <ID>1532</ID> <QID>150031</QID> <FIRST_TIME_DETECTED>2011-12-30T09:57:39Z</FIRST_TIME_DETECTED> <LAST_TIME_DETECTED>2011-12-30T09:57:39Z</LAST_TIME_DETECTED> <LAST_TIME_TESTED>2011-12-30T09:57:39Z</LAST_TIME_TESTED> <DATA base64="true"><![CDATA[VGltZW91dCByZWFjaGVkIGluIElQQyBjb25uZWN0aW9uIHRvIFdlYktpdC4gSmF 2YVNjcmlwdCBz dXBwb3J0IGRpc2FibGVkIGluOmVQaGFzZUNyYXdsCkNyYXdsIGNvbXBsZXRlZCB3aXRoIFdlYktp dC4K ]]></DATA> </INFORMATION_GATHERED> スキャンレポート 脆弱性と機密コンテンツの検出内容 更新された要素: WAS_SCAN_REPORT/RESULTS/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PAYLOAD/RESPONSE/CON TENTS WAS_SCAN_REPORT/RESULTS/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAYLOADS/PAYLOAD/RESP ONSE/CONTENTS WAS_SCAN_REPORT/RESULTS/VULNERABILITY_LIST/VULNERABILITY/PAYLOADS/PAYLOAD/RESPONSE/EVI DENCE WAS_SCAN_REPORT/RESULTS/SENSITIVE_CONTENT_LIST/SENSITIVE_CONTENT/PAYLOADS/PAYLOAD/RESP ONSE/EVIDENCE 収集情報の検出内容 更新された要素: WAS_SCAN_REPORT/RESULTS/INFORMATION_GATHERED_LIST/INFORMATION_GATHERED/DATA QualysGuard WAS API リリースノート 11