VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。
本日(2021/6/23)、VAddyのエンタープライズとエンタープライズ+ プランに「非公開ファイル検査」を追加しました。
非公開ファイル検査
非公開ファイル検査では、URLパスのディレクトリに対して次のファイルの有無をチェックします。
- .env
- .git/config
- .svn/entries
例えば http://www.example.com/foo/bar/buz.htmlというURLがあった時には、
のように全てのURLパスの階層に対して非公開にすべきファイルが公開されていないかチェックします。
検査を追加した背景
Webサーバを運営していて日々ログをチェックしていると、404 not foundなどで.envや.git/configなどに対するスキャンが来ているのを感じているかと思います。
基本的にこれらのファイルは外部に公開すべきではなく、もし公開されているとDBサーバのアクセス情報やソースコードなどが漏洩してしまいます。もしソースコードにクラウドサービスのアクセスキー などがあればそこからクラウドサービスがコントロールされる危険性もあります。
.envファイルは直接アクセスできないようにWebサーバによって閲覧制限させたり、非公開領域に置くのが基本です。また.git/.svnファイルは本番/ステージング環境には不要なためリリース時に除かれることが多いです。
ただ、気付かずにそれらのファイルがサーバの公開領域に設置される、Webサーバの設定を変えてしまって公開状態になったなど、外部からアクセスできる場合にすぐに検知して非公開にすべき対象です。
これらのファイルを狙ったスキャンが日々来ている現在、リスクの高い問題と考えて今回VAddyの脆弱性診断項目に追加しました。
VAddyはブラウザだけで手軽に始められ、最短10分程度で脆弱性検査まで実施できます。1週間の無料トライアルにてプロフェッショナルプラン相当の検査が実施できますので是非お試しください。