トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-09-01

_ [detect] Apache のログを見ていて思ったこと

W32.Welchia.Worm(symantec)だか WORM_MSBLAST.D(TREND MICRO)だと思われるが、 ICMP Echo と TCP/80 へのアクセスが大量にログに残ってる。
このワーム、MS03-007を突くらしいのだが、

GET / HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt)
Host: xxx.xxx.xxx.xxx
Connection: Keep-Alive

というログしか残っておらず、とても攻撃には見えない。
そんなもんなんでしょうか?それとも取りこぼしてるんでしょうか?

本日のツッコミ(全4件) [ツッコミを入れる]

_ みゃー [日記風味な週記なのか、週記風味な日記なのかどっちでせう(w]

_ bun [開店キャンペーンってことで。そろそろ持ちネタを出し尽くす頃なので、じきに落ち着きます。]

_ あいのり日記 [勝手に推測なんですが、対象が IIS じゃないと攻撃コードがこないとか・・・?]

_ bun [おっ、確かに IIS には SEARCH とか来ているので、もしかするとそうなのかも。どっか空きグローバル IP ア..]


2003-09-02

_ [etc] IPv6

ここに、IPv6 使っている方からアクセスして頂いたようで、ログに IPv6 のアドレスが記録されていた。 初なので嬉しくて、どこからかな?と思って whois したのだが、

$ whois 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
[Querying whois.6bone.net]
[whois.6bone.net]
% RIPEdb(3.0.0b2) with ISI RPSL extensions
inet6num:     2001::/16
 :
 :

違う!!俺が求めてたのはそんな広い範囲じゃないっ。どうすればいいんでしょう?

本日のツッコミ(全10件) [ツッコミを入れる]

_ totoro [んとんと、私の持ってるシステムなら、出ますよ(ぉぃ]

_ totoro [アドレスを、コソッと教えて頂ければ、コソッと結果を出します]

_ みゃー [IPV6の広い海におぼれそうになるよねぇ〜(ごぼごぼ]

_ bun [礼状もありませんし、totoroさんにこれ以上不正アクセスをさせるわけにはいかないので(笑)]

_ bun [ウチでは、2^80個もらったアドレスのうち3個しか使ってないので、おぼれることはないかと。]

_ totoro [2^80個もIP貰ったんですか? v6 Over v4使えば、無敵じゃないですか・・・。 2^10で良いので、分けて..]

_ bun [https://www.iijmio.jp/guide/ipv6/ これで /48 もらいました。]

_ totoro [うがぁ!IIJ関係じゃないですか! ソニー信者の私に、裏切れと?]

_ bun [bit-drive もくれますよ。http://www.v6.bit-drive.ne.jp/]

_ totoro [早速申し込んでみました。 64K個も、何に使いましょうかねぇ・・・。]


2003-09-03

_ [detect][tool] mod_security でログを取る

mod_security で、POST データのログを取得しようとした。

$ tar xvfz mod_security_1.5.tar.gz
# /usr/sbin/apxs -cia mod_security_1.5/apache2/mod_security.c
# vi /etc/httpd/conf.d/security.conf
     LoadModule security_module modules/mod_security.so
     <IfModule mod_security.c>
         SecAuditEngine On
         SecFilterDefaultAction "pass,log"
         SecAuditLog logs/audit_log
     </IfModule>
# service httpd restart
いろいろアクセスしてみる。 192.168.0.1 -> 192.168.0.2:80
# cat /var/log/httpd/audit_log ======================================== Request: 192.168.0.1 - - [[30/ 6月/2003:15:40:46 +0900]] "POST /cgi-bin/a.cgi HTTP/1.0" 200 4 Handler: cgi-script ---------------------------------------- POST /cgi-bin/a.cgi HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Accept-Language: ja Content-Type: multipart/form-data; boundary=---------------------------7d3190242804ba User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: 192.168.0.2 Content-Length: 243 Connection: Keep-Alive Pragma: no-cache
-----------------------------7d3190242804ba Content-Disposition: form-data; name="foo"
var
うむ、いい感じ。

というメモが手元にあるのだが、今 mod_ssl-1.6 で試してみたがちっともうまくいかない。2ヶ月も前のことなので、何かコツがあったのかどうかも思い出せない。全然「うむ、いい感じ。」じゃないし。
ここのサーバにも仕掛けてあったんですが、全くログが取れてませんでしたとさ(;´Д`)

2003-09-04 追記: 一応動作しました。

2007-08-30 : Ver 2.1 でやってみた。

_ [etc] IPv6 続き

単に whois サーバの指定をしてなかっただけでした。

$ whois 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx -h whois.apnic.net
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
inet6num:     2001:xxxx:xxxx::/48
 :
 :

APNIC Whois Databaseで検索しても出てきますね。無知っぷりをさらしてしまった。

本日のツッコミ(全3件) [ツッコミを入れる]

_  [mod_securityでログですが、POST filteringをONにせよと書いてあったので、そうしたらいけまし..]

_ bun [はい、それも試してみたんですが、だめでした。 で、たどり着いたのが http://www.devnull.jp/td..]

_  [あ、うちのはApaceh1.3.28だったんで、そこが違いかもしれません。]


2003-09-04

_ [detect][tool] mod_security でログを取る(続き)

ソースをいじってログが取れるようにしてみたけど、これが原因なのかどうかも不明。

--- mod_security-1.6/apache2/mod_security.c  2003-09-04 13:56:48.000000000 +0900
+++ mod_security-1.6/apache2/mod_security.c  2003-09-04 13:57:04.000000000 +0900
@@ -187,7 +187,7 @@
typedef struct { char *buffer; - char *sofar; +// char *sofar; long length; long remaining; } request_body;

「うむ、微妙な感じ。」

ちなみに、ログはこんな感じで残ってます。

========================================
Request: xxx.xxx.xxx.xxx - - [[04/ 9月/2003:14:24:14 +0900]] "POST /tdiary/ HTTP/1.1" 200 209
Handler: cgi-script
----------------------------------------
POST /tdiary/ HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*
Referer: http://www.devnull.jp/tdiary/?date=20030904
Accept-Language: ja
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.devnull.jp
Content-Length: 138
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: tdiary=%A4%DF%A4%E3%A1%BC&
date=20030904&name=%A4%DF%A4%E3%A1%BC&mail=&body=%A4%D3%A4%DF%A4%E7%A1%C1%A4%F3BY%A4%BD%A4%CE%A4%D4%A1%BC%C9%F7%CC%A3&comment=%C5%EA%B9%C6
HTTP/1.1 200 OK Set-Cookie: tdiary=%A4%DF%A4%E3%A1%BC&; path=/tdiary/; expires=Wed, 03 Dec 2003 05:24:14 GMT Connection: close Transfer-Encoding: chunked Content-Type: text/html

_ [audit][tool] Pegasus

少し前に作ったツール。proxy サーバとして動作し、ブラウザからの HTTP リクエストを受け取り、書き換えて送信するためのものです。HTTPS の場合でも、復号して書き換えることができます。(スクリーンショット)

Java で書いたので、JRE が必要です。GUI には eclipse の SWT を使ったので、SWT ライブラリが必要です。

注意: 非常に中途半端な出来です。近くにいる人に使ってもらってバグとか要望を出してもらっていたんですが、ラーメンとそばとスパゲッティが混じってしまうくらい汚くなってしまい、メンテナンスは諦めました。そんな状態ですので、今後これに手を入れることはないでしょう。ただこのまま捨ててしまうのは勿体無いので晒します。ひょっとすると新しく作り直すという形で要望を反映させられるかもしれませんが、まったく未定です。

本日のツッコミ(全5件) [ツッコミを入れる]

_ みゃー [びみょ〜んBYそのぴー風味]

_ naka [お]

_ みゃー [ある意味らーめんとそばとスパゲッティの組み合わせって贅沢?(違]

_ 佐名木 [MS-SQL6.5->7.0 みたいに、一から書き直したPegasus2 ができるんだー ;-P と言ってみるテスト]

_ bun [前向きに検討致します。と逃げてみる :-P]


2003-09-07

_ [audit][tool] WebScarab

あとで試してみると言っておいて忘れてたのを、ここみて思い出した。まだまだ発展途上で、今すぐどうにかなるものでもなさそう。プラグインという形でいろいろと機能を増やしていくようなので、Java の勉強に何か作ってみるのも良いかと。

WebScarab スクリーンショット

_ [audit][tool] ゼウス

id:nakatakaより。こちらは Perl で何か作ったようで。公開予定はないそうですが、予定外の公開は?


2003-09-08

_ [etc] 5秒ルールの科学的有効性

読冊日記より。アメリカの女子高生が科学的な検証をしたそうです。

私も 「5 秒ルール」で育ってきましたが、「3 秒ルール」な文化の人からすると「汚ね〜」だとか(笑)

本日のツッコミ(全3件) [ツッコミを入れる]

_ みゃー [ていうか落ちたものは諦めなさいっ(`Д´)ノ]

_ bun [食べ物は大事にしないと。]

_ TOTOR [腹壊しても知りませんよ?]


2003-09-09

_ [audit] Blind SQL Injection white paper

エラーメッセージが出なくともアプリケーションの挙動からアプリケーション内で使ってる SQL 文を推測する、という話だと思うんだけど。

_ [audit] Blindfolded SQL Injection

上と同じような話。1日に出てたけど、メモし忘れてました。

本日のツッコミ(全2件) [ツッコミを入れる]

_ みゃー [セキュアカデミーいった?(w]

_ TOTORO [客に呼ばれて、行けなかったよーん。]


2003-09-12

_ [etc] ""記です。

某氏より、「最近更新されてないけど?」とオフラインでツッコミを頂きましたが、ここは""記なので2日くらいの空きは許してもらえないでしょうか。 そもそも、書く暇はあってもネタがありません...

本日のツッコミ(全2件) [ツッコミを入れる]

_ みゃー [ホントのbun日記にするっていうのはどぉ?(゜▼゜]

_ James [ケーキオフ、さっそく申し込みました。楽しみにしております。(^^)]


2003-09-14

_ [defence][tool] Guardian@JUMPERZ.NET

リバースプロキシとして動作する HTTP サーバ。設定ファイルでパターンを指定しておいて、そのパターンにマッチする HTTP リクエストが来ると、その接続を切断してくれたり、指定しておいたコマンドを実行してくれたりする。mod_secury も同じようなことができるけど Apache 専用なのに対して、これはどんな HTTPD でも使えるでしょう。プラグインという形で機能追加ができるあたりも気に入った。こりゃ便利。

ソースを見ると、HTTP リクエスト丸ごと保存しておいてくれそうなんだけど、どうやるのかな? ソースを見る前にマニュアルを見ましょう>自分

本日のツッコミ(全3件) [ツッコミを入れる]

_ 金床 [ルールにひっかかるHTTPリクエスト(ルールの種類によってはレスポンスも)は全部保存されます。 保存先はcontro..]

_ bun [ありがとうございます。確かに保存されていました。]

_ みゃー [日記で疑問を書くと誰かが答えをくれるシステムとはすげぇー(゜▼゜*]


2003-09-17

_ [etc] 某真っ黒なヒト

昨日は、某真っ黒と噂されるヒトと酒を飲んだ。
噂どおり、真っ黒なヒトだった。

本日の教訓

  • 「あと1時間飲もう」は1時間じゃ終わらない。
  • 真っ白だとゴマ粒大の黒い部分がとてもよく目立つ。
  • 伝言ゲームは、やはりどこかで話が歪む

あれくらいのお酒の量・ペースなら、まだ大丈夫です。

本日のツッコミ(全8件) [ツッコミを入れる]

_ みゃー [お酒が飲めるっていいなぁ。。。(ぼそり) 生クリームならのめるんだけどなぁ。。。]

_ bun [なっ、生クリームっすか?それのほうが無理です。]

_ みゃー [甘いものなら任せとけなのだ〜♪]

_ TOTORO [弱くなったのかなぁ・・・。 疲れがどどっと出ましたよ。貫徹2日目に酒呑むと]

_ bun [どっちもどっちじゃん、と思っているヒトがいるに一票(涙)]

_ そのだ [あれ?bunさんも新橋に居たんですか?]

_ そのだ [あ、まちがえました、日付を(笑)。]

_ bun [(^^) ネタがないときでも、日付回しといたほうがいいですかね?]


2003-09-20

_ [audit] Webアプリケーションに潜むセキュリティホール

第5回 Webアプリケーションの検査テクニック(1)ということで、Web アプリケーションの検査手法です。自動検査ツールでは検査しきれない部分があるという話と、手動検査で使える補助ツールとして Achilles の紹介です。
ここのページにもリンクしてくださっている、sPortRedirector も紹介されています。

_ [etc] っーか

ヽRノ日記。情報早すぎです。

_ [audit][tool] WebScarab Release Name: 20030826-0902

バグフィックスだとか。

_ [audit] OWASP VulnXML database

nakatakaの日記より。上に書いた WebScarab がこの XML シグネチャを使う。用意されているシグネチャもそれぞれのシグネチャの内容も十分とはいえないが、XML で書いておくと後々の再利用が容易なので、とりあえずこの形式に従って書いておいても損は無いだろう。

本日のツッコミ(全7件) [ツッコミを入れる]

_ ヽRノ [RSSの威力っす。]

_ bun [それよりも、情報を見つけてすぐに更新しようって気力に脱帽です。]

_ みゃー [サブローは朝も早起きさんだからなぁ〜。行動はママーリしてるのになぁ(w]

_ bun [最近は早起きなら負けてないはず。毎朝4時半起きです。(平日のみ)]

_ TOTORO [午前4時30分ですか。。。私も起きてますよ。寝る前ですがね。]

_ bun [その代わりそろそろ定時♪]

_ みゃー [朝4時におきる人って何時に寝てるんだ(((゜Д゜;;]


2003-09-22

_ [audit][tool] Odysseus 2 - Beta

31-Sep-2003 付け(?)で、Odysseus 2 - Beta 5 が出てました。Odysseus はほとんど使い込んでないので、何が変わったのかよくわかりません。ChangeLog をご覧ください。


2003-09-23

_ [defence][tool] Guardian@JUMPERZ.NET

バージョンアップ。body を含まない POST や PUT メソッドのリクエストを受け取ったときに、タイムアウトまで待たずに切断されるようになりました。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [これってカニさんかなぁ。。]


2003-09-26

_ [defence] OWASP Columns

ちょっと今読んでる時間がないので、URL だけメモ。
There Is More to Securing Web Services Systems Than WS-Security
What IIS Security?


2003-09-28

_ [etc] 今日はケーキオフの日

どうぞよろしくお願いします。

_ [etc] お疲れ様でした

資料が公開されました。http://www.port139.co.jp/cakeoff.htm

_ [etc] 言い訳

単なる言い訳なので、port139ml ではなくここでこそっと書きます。

自分では相当悩んだつもりだったんですが、まだまだ悩みたりなかったようです。 ログから不正なアクセスを探す、という行為を日常的にやっているわけではなかったので、理論上はこうすればできるという観点から入らざるを得ず、現実離れしているところが多々あったと反省しています。 今回現場のみなさんの話をいろいろ聞けたので、それを踏まえて順次アップデートしていきます。

全ての攻撃を完璧に見つけ出すためには、全てのデータを保存しておかないとだめだろう、という意識は変わりません。しかし、特定の攻撃だけに絞って考えると必ずしも全てのデータが必要なわけではないです。これがまとまると、サイトの重要度・規模・許容できるリスク・予算に応じてどこまで実施するかを選択できるはずなので、普段攻撃診断しながらも考えてみます。

_ [etc] ちなみに

今回のお題が WebApp 関係だったのもあると思いますが、意外と WebApp の診断をお仕事にしている方が多かったのにはびっくりしました。

_ [detect][tool] Log Parser

これくらいしかまともなネタがなかったので、溜めてました。

ネタ元は、Forensic Log Parsing with Microsoft's LogParser。ログファイルを分析させて SQL インターフェースで結果を取得できる。IIS のログに限らず、IISW3C・NCSA・IIS・ODBC・BIN・IISMSID・HTTPERR・URLSCAN・CSV・W3C・EVT などに対応している。

Version 2.0 は単品で、Version 2.1 は IIS 6.0 Resource Kit Tools に付属されて配布されている。

本日のツッコミ(全6件) [ツッコミを入れる]

_ TOTORO [当日、いろいろと教えてくださいね。 わたし、素人なもので・・・]

_ B-) [講師、おつかれさまでございました。m(_ _)m]

_ bun [こそっとは許されないらしい Д]

_ Fumi-pooh [待ち合わせに遅刻してしまいましてゴメンナサイです^^;やっぱり現場は大変なんですねぇ。休憩中の雑談でも、Webアプリ..]

_ みゃー [待ち合わせに遅刻したのはわたしのせーでごめんにょろ♪つーかコクティすごい資料だったね。感心したっ!やるときゃやるねぇ..]

_ やまにょん [遅ればせながらこんにちは。こっそり遊びに来てたのですがコメントし難くて・・・。講師お疲れ様でした。また冴えたお話を聞..]


2003-09-29

_ [detect] 絶対に見つけられないWebアプリ攻撃は存在する

高木浩光@茨城県つくば市さんよりコメントを頂きました。私の話した手法だけでは、確かに見つけられない攻撃がありました。

一点、

国分氏の講演では、セッションハイジャックを見つける方法として、「Set-Cookie: で発行したセッションIDと異なる Cookie: が送られてきた場合を探す」ということが述べられているが、攻撃者は、そもそも Set-Cookie: を発生させるようなアクセス(通常、これはパスワード送信時に起きる)をすることなしに、最初から直接に、他人用のセッションIDを Cookie: としたリクエストを送信するのだから、この方法では検出できないだろう。

正規のアクセスでは、Set-Cookie: で発行された内容が、 Cookie: として送信されてくるはずです。 Set-Cookie: が発生していないのに、セッションID が Cookie: として送信され てくるのは、不審なアクセスとして検出できるのではないでしょうか。
ただ、その後に述べられている「同じユーザを判別できない」状態では机上の空論であることは間違いありません。

_ [etc] 情報募集

公開されていないディスカッションの中で、「事故後に『個人情報の流出はありません」とすぐ発表が出せるわけがない』と話しましたが、どのような調査をした結果そういう結論にたどり着いたのかさらに興味がわきました。
サイトの公開以降正規のユーザを含め誰もアクセスしてないとかなんでしょうか?

_ [audit][tool] WebScarab 20030929-1052

Note。実際の中身までは追いかけられていません。


無料アクセス解析