EC-CUBEのセキュリティをチェックすることはできますか?
投稿日:2011/08/22
EC-CUBEのセキュリティについて
セキュリティの脆弱性による情報漏えいなどが問題となっている昨今、EC-CUBEのセキュリティについても脆弱性が無いか心配ですね。
そもそも脆弱性とは何かと言いますと、悪意のある人がサイトから情報を盗むためにも、侵入するための足掛かりがなければ難しいのです。家でいえば、1か所でも鍵のない窓を見つけることができれば、侵入が簡単になるのです。脆弱性とは、比較的確立されたテクニックで侵入することのできるポイントということになります。
EC-CUBEそのものについては、脆弱性対策については慎重に扱われています。有償のチェックツール等を用いても基本的な脆弱性は発見されません。ですが、カスタマイズによっては知らないうちにそのような脆弱性を埋め込んでしまう可能性はゼロではありません。
そこでEC-CUBE工房ではこれまで開発に携わった幾つかのサイトでセキュリティについてチェックを行ってみました(2012年1月26日CrackerGuardからParosを使ったものに書き換えました)。
診断ツールParos
セキュリティのチェックにはParosという、無償の診断ツールを利用しました。
ParosはWebサイトのクロスサイトスクリプティング(XSS)、ディレクトリトラバーサル、SQLインジェクションなどを診断してくれるツールです。
英語ですがレポートを提出する際などに日本語に直す必要がありますが、無償でセキュリティチェックできるのは良いですね。
Parosの日本語解説Wiki
診断結果
試しに開発用のサーバーを用いて、Parosの診断を行ってみました。
ツールの報告結果を見ると、Highレベルの警告が出ています。
SQL Injectionという表記にドキッとしましたが、どうも開発用のサーバーが重くレスポンスが遅れた場合にインジェクションと判定されたようです(ほっ)。
自分のサイトが心配という場合
EC-CUBEの最新版は基本的な脆弱性対策は施されています。もし脆弱性が発見された場合はEC-CUBE脆弱性リストに対策が発表されますので、そこで公開されるパッチを当てておけば基本的には安心です。
しかし、カスタマイズをしている場合は、その独自の箇所に脆弱性を埋め込んでしまう可能性があります。
Parosのようなツールを独自に導入する場合は、サーバーの知識が必要であったりと何かと敷居が高いのが現実です。
EC-CUBE工房ではショップオーナー様のEC-CUBEサイトチェックや脆弱性対応も承っておりますので、まずはお問い合わせください!!