トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-10-02

_ [audit][tool] httprint 107

バージョンアップ

  • Ability to import web server IP addresses and ports from nmap's XML output files, generated by the -oX option.
  • Reports can now be generated in CSV format.

だけど、ダウンロードしようとしたら 404 でした。ダウンロードできるようになりました。

_ [defence] How to Build an HTTP Request Validation Engine for Your J2EE Application

OWASPより。
"Rule #1: Never trust anything from the HTTP request!"ということで、各パラメーター・Cookie・リクエストヘッダーについて どのような形式の値が正しいのかを記述しておき、その通りの値が送られてきているのかを確認するエンジンの作り方。その簡単な実装として Stinger のアルファバージョンが紹介されている。XML に正規表現で書いておいて、このエンジンに食わせるとチェックをしてくれる。

早速つかってみるべく、Java の入門書を探しに書店に行ってきます。

_ [etc] だめだめ

英語のコンテンツばっかりで追いかけきれません。

_ [etc] google

皆さんいろいろな検索語でここに来るんですが、ほとんどが HTTP 関連の検索語で来てます。でもその中で一つ異質なのがあって、「みゃー 日記」でいらっしゃった方がお1人いらっしゃいました。みゃー様のコメント集とか作ろうとしてるんでしょうか。みつけたらぜひ教えてください(笑)

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [せつないねぇ〜(´ー`)ノ]


2003-10-03

_ [audit][tool] LiveHTTPHeaders

Mozilla が出すリクエストとそのレスポンスヘッダを見ることができる。さらに、リクエストを書き換えて送り出すこともできて、レスポンスのページが表示される。

これ Achilles みたいな別 Proxy を用意しなくていいし、マルチプラットフォーム(Mozilla 系が動く環境のみ)だし、ひょっとしてすごい便利かも。Pegasus2 作らなくてよくなりそう。

追記: ヽRノ日記より。multipart/form-data なリクエストだとリクエストボディに日本語がそのまま含まれることがあるが、文字化けする。EUC-JP、Shift_JIS、ISO-2022-JP、UTF-8 全滅。

_ [audit][tool] screen-scraper

SecuDiaryより。ローカルのプロキシーとして動作して、HTTP・HTTPS のリクエストレスポンスを見ることができる。

というところまでは使って直感的にわかったんですが、その他の機能がよくわからない。ドキュメント読んでから再挑戦。

_ [defence][detect] XSS: Cross site scripting, detection and prevention

http://angelo.scanit.biz/papers/xss.pdf

_ [etc] ごく内輪の業務連絡

ネタじゃありませんでした。電撃です。
おめでとうございます。

本日のツッコミ(全7件) [ツッコミを入れる]

_ ヽRノ [めっちゃいいですねぇ〜>LiveHTTPHeaders]

_ みゃー [やっぱり勘が大事っ!!]

_ みゃー [おめでとー(´ー`)ノ・.※・★*.・☆*.>内輪な人]

_ hiro-t [調査お待ちしてます > screen-scraper]

_ bun [tutorials とあったので読んでみましたが、未だに何をするものなのかさっぱり理解できません。英語力が明らかに不..]

_ けん [screen-scraperをなんとなく眺めてたんですけど、Proxomitronのようなもののでは?違うかしらん。..]

_ hiro-t [実は私もさっと読んでみて何するものなのかつかめなかったので、棚置きになっています。(汗]


2003-10-04


2003-10-08

_ [defence][tool] mod_security: Converted Snort rules

Snort のルールを mod_security のルールに書き換える Perl スクリプト。このルールを適用するには mod_security 1.7RC1 以上が必要。

本日のツッコミ(全3件) [ツッコミを入れる]

_ みゃー [本当に週記になってきたのヵ(゜Д゜;;]

_ bun [最初から週記ですが、何か?]

_ みゃー [ぇー。週記風味な日記がィィー(゜∀゜)]


2003-10-09

_ [audit] @IT: 連載: Webアプリケーションに潜むセキュリティホール

第6回 Webアプリケーションの検査(2) 〜 Webサイトのセッションまわりを調べる方法 〜

Web だけに限らずネットワークレベルのペネトレーションでもどっかの家に忍び込む場合でも、やっぱり下見して対象を把握しておくことが大事。

まず「画面遷移図を作る」から始まっているが、わざわざ作らなくても正確な画面遷移図は検査対象の管理者から入手できるはず。度重なる増改築で開発当初から変わってしまってる、とか言い訳はいろいろあるだろうけど、画面遷移図さえメンテナンスできてないサイトは私ならその時点で要注意サイトに分類する。自分(達)の管理対象が現状どういう構成になっているのかも把握できてないのに個々のセキュリティがどうのこうの言っててもお話になりませんな。

_ [audit][tool] nc

上の記事の最後にセッションID を収集するための Perl スクリプトが紹介されているが、個人的には nc が好き。

#!/bin/sh
while true; do
  echo -e 'GET /index.cgi HTTP/1.0\r\n\r\n' |\
  nc www.example.com 80 | \
  grep 'Set-Cookie:'
  sleep 1
done
本日のツッコミ(全2件) [ツッコミを入れる]

_ 金床 [HTTP的には改行コードが\nだけだとアレですが… 細かいコト突っ込んじゃってすみません。]

_ bun [\r\n でしたね。直しました。m(_ _)m]


2003-10-11

_ [audit][tool] HTML Source Code Explorer Bar 2.0

HTML ページの情報を分解して見られる。フォームの input type="text" だけでなく hidden とか radio とかも書き換えて送ることもできる。Web Sleuthが似たようなのだった気がする。

Live HTTP Headers と比べると物足りないような気もするけど、IE 用ってことでメモ。


2003-10-13

_ [defence] Paper: Application Assessment Questioning

ヽRノ日記より。検査者だけでなく、開発者も頭に入れて開発すると吉。


2003-10-16

_ [etc] イッパイイッパイ

で中身を詳細に見てられません。メモだけ。

_ [etc] XForms 1.0

W3C勧告。より高機能な Web フォームを作成するための、次世代 Web フォームだとか。

_ [audit] Introduction to Exploiting Web Applications

けんのほやほやより。検査手法いろいろ。
http://fux0r.phathookups.com/incoming/sp-coding-web-sploits.doc

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [イッパソイッパソ。。体には気をつけてねぇ〜(もれなくみんな体調不良だしー)]


2003-10-19

_ [defence][tool] mod_security v1.7 released

  • Fixed mod_security not to attempt to do any work if the context is not initialised properly.

v1.7RC1 から、Apache2 で妙な小技を使わなくとも POST のログが取れるようになってた模様。


2003-10-20

_ [etc] 占い

完全に乗り遅れてますが、流行ものを2つ。

_ [etc] JOJOの奇妙なスタンド占い

あなたのスタンドは「ダイバー・ダウン」です。

能力   :物質に力を潜ませる。または解放する。
幸運の象徴:結婚式
不幸の象徴:天気予報

総合運:人間並み
恋愛運:人間並み
金銭運:人間並み
健康運:人間並み

総評:あなたは、非常に特徴的なものの考え方を持っています。このため、日常生活になんらかの不具合を持っている場合がありますが、運勢自体は特に当たり障りはありません。むしろ、今後どのような態度でもろもろの事件に対応していくかによって、あなたの真価は決定されていくでしょう。
また、一人の異性を愛する場合は、あまりのめりこみすぎるとストーカーのような犯罪行為に及ぶ可能性があります。相手も一人の人間として、距離を置いてつきあっていくことが大事です。注意してください。

ラッキーワード:「祝福しろ」

_ [etc] 賞味期限チェッカー(人間用)

測定結果

bunさん(男性)の賞味期限は
ズバリ2012年4月10日です。

したがってbunさんがいっちょまえの人間として扱えるのは約35歳までです。
なお、この数値、いいのか悪いのかどうなんだ、と言いますと普通より悪いほうです。

bunさんの賞味期限の総合評価ランク C
bunさんがいっちょまえの人間として扱えるのは2012年4月10日まで。約35歳までです。ちょっと短い賞味期限ですね。35歳という若さでbunさんは死ぬことはなくても、人間としてはどんどん腐っていくでしょう。

人気の期限 評価ランクC
あーらら・・・言っちゃなんですが悪いです。bunさんは約23歳までという若さで全く人気のない人間になります。23歳というあまりにも若い年からbunさんはご隠居生活を考えなくてはなりませんぜ。あ〜あ・・・

肉体の期限 評価ランク B
フムフム。肉体期限約33歳までというのはまあまあ普通の数値です。スポーツ選手としては多少力不足ですが、日常生活をするだけならは問題なく人生をまっとうすることができるでしょう。

心の期限 評価ランク B
bunさんの心が豊かでいられるのは約37歳まで。これはよくも悪くもなくいたって普通の数値です。大人になっていくと多少心は廃れていくかもしれませんが、ま、人間の心なんて普通そんなもんです。

”男”としての賞味期限 評価ランクB
ふ〜ん、まあまあ普通ですよ、男性フェロモン期限33歳までという数値は。恋愛をするなら33歳までが適齢期でしょう。それ以上だとbunさんに”男”としての価値はなくなり、魅力を感じてくれる異性はいなくなります。

本日のツッコミ(全2件) [ツッコミを入れる]

_ みゃー [「日常生活になんらかの不具合を持っている」・・・パッチ当てないとっ!(゜Д゜;;]

_ みゃー [とりあえず平均点クリア?(゜ー゜]


2003-10-21

_ [audit][tool] Paros v3.0.2

Web Application Security Assessment ツール。Proxy 型。変更点は以下の通り。

  • Improved SQL injection check
  • Added default file check for JRUN
  • Added default files check for IIS 4, IIS 5 and IIS 6
  • Added default files check for ColdFusion
  • Added "ReplaceResponseHeader" filter to automatically change pattern in response header
  • Added "ReplaceResponseBody" filter to automatically change pattern in response body
  • Fixed a problem for default file check with "Scan All" function

_ [etc] 情報セキュリティアドミニストレータ

あったようで。不勉強な私が受けると、確実に落ちて廃業することになるので受けませんでした。まぁとりあえず問題だけでも、ということで試験問題を見せてもらいました。

問 28 クロスサイトスクリプティングの手口はどれか。
ア Web アプリケーションに用意された入力フィールドに, 入力データとして悪意のある JavaScript コードを埋め込む。
イ 大量のデータを Web アプリケーションに送ることによって, 用意されたバッファ領域をあふれさせる。
ウ 入力フォームの隠しフィールドのデータを改ざんし, 改ざんされたデータを Web アプリケーションに渡す。
エ パス名を推定することによって, 本来は認証された後にしかアクセスできないページに直接ジャンプする。

XSS って、自分がスクリプトなりを埋め込んで自分で実行してるんじゃ意味なくて、他人に罠を踏ませるところが手口だと思うんですが。つまりこの問題は、XSS があるとこを探すための手口ってことなんですかね?そうすると、ウも正解になっちゃいます。hidden なパラメーターに JavaScript 突っ込んで動かすなんてのは非常によくありますし。

問 29 Web サーバとブラウザの通信で使用されるクッキーに関する記述のうち, 適切なものはどれか。
ア クッキーによって個人情報が収集されるのを防ぎたい場合は, TFTP(Trivial File Transfer Protocol) の通信を禁止する。
イ クライアントのハードディスクに保存されたクッキーは削除できないので、不要なクッキーについてはブラウザで受信をブロックするように設定する。
ウ セション管理用に作成されたクッキーは, 接続再開時にセションを維持するものなので, クライアントのハードディスクに記録する。
エ ユーザ ID などのユーザ識別情報を管理するクッキーは, クライアントの再起動後も利用するものなので, クライアントのハードディスクに記録する。

「ユーザ ID などのユーザ識別情報を管理するクッキー」をディスクに記録するのって適切なんですか?ディスクに保存しないほうが、第三者に盗まれる可能性が低いので適切でしょう。エはオートログインの話をしてるんだと思いますが、よく使われていれば正解なんでしょうかね。そうならば、イでいう保存されたクッキーを削除できない人がよくいますので(注: 統計を取ったわけではありません)、ブラウザの設定で対策するのは適切でしょう。
ウの「接続再開時」の定義もあいまいで、ブラウザを開いたまま次のページにアクセスするのが「接続再開」なのか、マシンを再起動して同じページにアクセスするのが「接続再開」なのかよくわかりません。再来者を追跡してみたり、オートログインもセションが維持されている状態のひとつでしょうし、再起動後もセションを維持したい場合が多々あるので、その場合はディスクに保存しておかないとだめでしょう。

出題者の想定している解答はそれぞれ、ア と エ なんだと思いますが、問題文が曖昧すぎて真面目に考えると回答がでてきません。
Σ(゜д゜)ハッ。ひょっとして、出題者の想定していることまで読むっていうソーシャルなスキルも要求されているんですか。情報セキュリティアドミニストレータ恐るべし。

_ [etc] 障害報告

10/19 頃からツッコミが入れられない問題があったようです。原因は、mod_security のバージョンアップのようで、古いバージョンに戻したら直りました。根本的な原因がどこにあるのかは、追々調査するつもりです。
その mod_security のおかげでツッコミのデータは残っていましたので、とりあえず手動で回復させました。ただし、ツッコミの時間まで復元するのはちょっと面倒なので後回しにしています。
ご迷惑おかけしました。

障害報告して頂いた、しかPさん、みゃーさん、ありがとうございました。嫌いではありませんのでお好きなだけツッコんでください。

本日のツッコミ(全9件) [ツッコミを入れる]

_ Simurgh [あぁ、受けたさ( ´ー`)y-~~ 意味がわかんなかったさヽ(`Д´)ノ 午後Iの問題はもっと意味不明なのがあった..]

_ しかP [ぼくが受けたときも意図をくみ取る問題だらけでだいぶ難儀しました(げら) #そんなもんだろう、と試験開始数分で悟りまし..]

_ しかP [あれ・・・突っ込みができない罠?もう一度・・・ ぼくが受けたときも意図をくみ取る問題続出で難儀しました。 #そんなも..]

_ みゃー [考えるのではない、感じるのですっ!!(゜Д゜)]

_ 金床 [うわー、ウンコですね上の2つの問題。 Parosの作者がDiablo2で遊ぶ相手探してました(笑。 Javaが出来..]

_ bun [ツッコミがないのは、既に人気の賞味期限が切れているからなのかと思ってました。]

_ しかP [わーい、書ける書けるヽ(´ー`)ノ]

_ Fumi-pooh [なんかコメント欄のスペースがでかくなってる(w。ちなみに、情報処理試験の合格テクニックは、出題者の意図を汲み取って、..]

_ Simurgh [俗世に汚されていない 専門学校生の方がうかりやすいとヽ(´∀`)ノ]


2003-10-22

_ [defence][tool] mod_security v1.7.1 released

  • Fixed a mutex leak in Apache 2.x version of the module
  • Fixed a bug in the output scanning code of the Apache 2.x version of the module
  • Fixed a bug where SecAuditLog wouldn't work when set to "On"

_ [etc] The Gematriculator

ココは 10%EVIL でした。

追記: ↑と書いたら 44% まで跳ね上がった罠。

再追記: ↑と書いたらさらに上がって 55%。もういいです。

本日のツッコミ(全2件) [ツッコミを入れる]

_ みゃー [1% evil, 99% good・・・。(゜ー゜]

_ bun [ホントだ。すげ〜〜〜、のかよくわかんないけど。]


2003-10-24

_ [etc] 終電

あ、終電が行ってもーた。

_ [etc] 今日は

一日外出予定。見かけたら声かけてください。

10:00-13:00
Security Solution2003
13:00-17:30
JNSA Network Security Forum 2003
17:30-18:30
Security Solution2003の後片付け手伝い
19:00-
某宴会
本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [お外に出たいよう(T_T)]


2003-10-26

_ [etc] 拉致

ご近所ということで某氏らに拉致されました。拉致した本人は既にお休みになられており、一人締め切り間近の原稿を書いている今日この頃。

_ [etc] PacketBlackHole <うぇぶんるい>

String Length: 11008 byte
Language :Japanese EUC-JP
Checked Language: Japanese
Title: "週"記
Category: 暴力/暴言/冒涜:30 :0
暴力/暴言/冒涜:30

たぶん拉致とか書いてあるからいけないんですね。

本日のツッコミ(全4件) [ツッコミを入れる]

_ Fumi-pooh [ご愁傷さまです(w]

_ みゃー [わしだけぢゃないよ(w <拉致ったの]

_ connect24h [拉致、おつかれー。好青年bunさん、また、飲みましょう。昨日は秋葉原で市場調査してました。Laox computer..]

_ ヽRノ(拉致犯その2) [お疲れ様です〜。朝早くにたたき起こしてスイマセソ(w。]


2003-10-28

_ [defence][tool] Apache 2.0.48, 1.3.29

SECURITY だけ抜粋

Changes with Apache 2.0.48
  *) SECURITY [CAN-2003-0789]: mod_cgid: Resolve some mishandling of
     the AF_UNIX socket used to communicate with the cgid daemon and
     the CGI script.  [Jeff Trawick]
  *) SECURITY [CAN-2003-0542]: Fix buffer overflows in mod_alias and
     mod_rewrite which occurred if one configured a regular expression
     with more than 9 captures.  [Andr・Malo]
Apache 1.3.29 Major changes
  Security vulnerabilities
     * CAN-2003-0542 (cve.mitre.org)
       Fix buffer overflows in mod_alias and mod_rewrite which occurred if
       one configured a regular expression with more than 9 captures.

2003-10-29

_ [audit][tool] WebScarab

http://sourceforge.net/project/showfiles.php?group_id=64424&release_id=193530よりダウンロードできます。

  • A BeanShell proxy plugin has been implemented to allow dynamic programmatic changes to requests and responses.
  • The Exodus Transcoder frame, proxy debugging support, and a shared cookie jar for the Proxy, Spider, and Manual plugins have been added.
  • There is support for 100 Continue messages.

中身まで追いかけきれてません。

_ [defence][tool] mod_security v1.7.2 released

Apache2 用のmod_security 1.7RC1 から 1.7.1 にリモートからコードを実行できる穴があった(advisory)。それに対する修正を含む。
その他の変更点は、CHANGES参照。


2003-10-30

_ [defence][tool] AppShield

先日高木先生と話す機会があり、cookie の secure 属性についてお話しした。その中で、AppShield はどうなんだろう、という話題が出たが、よく知らなかったので後日調べてみた。

まず、AppShield で守られてるサイトで HTTPS を提供しているサイトを探してみたら、Sanctum(AppShield の開発元)のサイトがそうだった。 https://www.sanctuminc.com/ にアクセスすると、Cookie が発行された。2年前のセキュリティスタジアムでどなたかが見つけていたが、この ASINFO が AppShield が発行する Cookie だ。
プライバシーの警告ウィンドウ

「セキュリティ保護」の部分が「いいえ」になっているので、secure 属性ではない cookie が発行されてることがわかる。その後 http://www.sanctuminc.com/ にアクセスすると、当然ながらこの cookie が送信されていた。
他2サイトでも AppShield かつ HTTPS なサイトを見つけたので見てみたが同様の動作をしていた。

これについて、AppShield の国内ディストリビューターである日立情報システムズさんに問い合わせてみた。

  1. AppShield で何らかの設定をすれば secure 属性の cookie が発行されるのでしょうか?
  2. 設定できないという場合、修正される予定などはあるのでしょうか。

AppShield への回答
率直に申し上げて弊社としては現状難しい回答となります。
Q1.AppShield で何らかの設定をすれば secure 属性の cookie が発行されるのでしょうか?
A1.発行する設定はございません。
   1)アプリケーション的な安全性を高めるのはcookieをsecure 属性にセットする必要があります。
     AppShieldはその部分に対する隠匿の対応はしませんが、改竄のチェックは行います。
   2)AppShield自身がSecure属性を持っていない事が直接的な脆弱性にはならないと考えます。
Q2.設定できないという場合、修正される予定などはあるのでしょうか。
A2.現バージョンにおいて修正の予定はございません。
   但し、次期バージョンにおいて対策を予定しています。

確かに AppShield の cookie だけ奪えばセッションを乗っ取れるかというとそうではなく、アクセスする URL やパラメータ値も奪わなければいけなく、こちらは HTTPS で保護されているのでほぼ問題ないだろう。


無料アクセス解析