トップ «前の日記(2003-09-28) 最新 次の日記(2003-10-02)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-09-29

_ [detect] 絶対に見つけられないWebアプリ攻撃は存在する

高木浩光@茨城県つくば市さんよりコメントを頂きました。私の話した手法だけでは、確かに見つけられない攻撃がありました。

一点、

国分氏の講演では、セッションハイジャックを見つける方法として、「Set-Cookie: で発行したセッションIDと異なる Cookie: が送られてきた場合を探す」ということが述べられているが、攻撃者は、そもそも Set-Cookie: を発生させるようなアクセス(通常、これはパスワード送信時に起きる)をすることなしに、最初から直接に、他人用のセッションIDを Cookie: としたリクエストを送信するのだから、この方法では検出できないだろう。

正規のアクセスでは、Set-Cookie: で発行された内容が、 Cookie: として送信されてくるはずです。 Set-Cookie: が発生していないのに、セッションID が Cookie: として送信され てくるのは、不審なアクセスとして検出できるのではないでしょうか。
ただ、その後に述べられている「同じユーザを判別できない」状態では机上の空論であることは間違いありません。

_ [etc] 情報募集

公開されていないディスカッションの中で、「事故後に『個人情報の流出はありません」とすぐ発表が出せるわけがない』と話しましたが、どのような調査をした結果そういう結論にたどり着いたのかさらに興味がわきました。
サイトの公開以降正規のユーザを含め誰もアクセスしてないとかなんでしょうか?

_ [audit][tool] WebScarab 20030929-1052

Note。実際の中身までは追いかけられていません。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析