トップ «前の日記(2003-09-02) 最新 次の日記(2003-09-04)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-09-03

_ [detect][tool] mod_security でログを取る

mod_security で、POST データのログを取得しようとした。

$ tar xvfz mod_security_1.5.tar.gz
# /usr/sbin/apxs -cia mod_security_1.5/apache2/mod_security.c
# vi /etc/httpd/conf.d/security.conf
     LoadModule security_module modules/mod_security.so
     <IfModule mod_security.c>
         SecAuditEngine On
         SecFilterDefaultAction "pass,log"
         SecAuditLog logs/audit_log
     </IfModule>
# service httpd restart
いろいろアクセスしてみる。 192.168.0.1 -> 192.168.0.2:80
# cat /var/log/httpd/audit_log ======================================== Request: 192.168.0.1 - - [[30/ 6月/2003:15:40:46 +0900]] "POST /cgi-bin/a.cgi HTTP/1.0" 200 4 Handler: cgi-script ---------------------------------------- POST /cgi-bin/a.cgi HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Accept-Language: ja Content-Type: multipart/form-data; boundary=---------------------------7d3190242804ba User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: 192.168.0.2 Content-Length: 243 Connection: Keep-Alive Pragma: no-cache
-----------------------------7d3190242804ba Content-Disposition: form-data; name="foo"
var
うむ、いい感じ。

というメモが手元にあるのだが、今 mod_ssl-1.6 で試してみたがちっともうまくいかない。2ヶ月も前のことなので、何かコツがあったのかどうかも思い出せない。全然「うむ、いい感じ。」じゃないし。
ここのサーバにも仕掛けてあったんですが、全くログが取れてませんでしたとさ(;´Д`)

2003-09-04 追記: 一応動作しました。

2007-08-30 : Ver 2.1 でやってみた。

_ [etc] IPv6 続き

単に whois サーバの指定をしてなかっただけでした。

$ whois 2001:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx -h whois.apnic.net
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
inet6num:     2001:xxxx:xxxx::/48
 :
 :

APNIC Whois Databaseで検索しても出てきますね。無知っぷりをさらしてしまった。

本日のツッコミ(全3件) [ツッコミを入れる]
_ (2003-09-19 09:49)

mod_securityでログですが、POST filteringをONにせよと書いてあったので、そうしたらいけました。<br> SecFilterEngine On<br> SecFilterScanPOST On<br>の二行を追加して成功です。mod_security 1.6です。

_ bun (2003-09-19 10:39)

はい、それも試してみたんですが、だめでした。<br>で、たどり着いたのが http://www.devnull.jp/tdiary/?date=20030904#p01 でした。<br>ちなみに、Apache 2.0.40 です。

_ (2003-09-19 13:36)

あ、うちのはApaceh1.3.28だったんで、そこが違いかもしれません。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析