トップ «前の日記(2003-10-08) 最新 次の日記(2003-10-11)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-10-09

_ [audit] @IT: 連載: Webアプリケーションに潜むセキュリティホール

第6回 Webアプリケーションの検査(2) 〜 Webサイトのセッションまわりを調べる方法 〜

Web だけに限らずネットワークレベルのペネトレーションでもどっかの家に忍び込む場合でも、やっぱり下見して対象を把握しておくことが大事。

まず「画面遷移図を作る」から始まっているが、わざわざ作らなくても正確な画面遷移図は検査対象の管理者から入手できるはず。度重なる増改築で開発当初から変わってしまってる、とか言い訳はいろいろあるだろうけど、画面遷移図さえメンテナンスできてないサイトは私ならその時点で要注意サイトに分類する。自分(達)の管理対象が現状どういう構成になっているのかも把握できてないのに個々のセキュリティがどうのこうの言っててもお話になりませんな。

_ [audit][tool] nc

上の記事の最後にセッションID を収集するための Perl スクリプトが紹介されているが、個人的には nc が好き。

#!/bin/sh
while true; do
  echo -e 'GET /index.cgi HTTP/1.0\r\n\r\n' |\
  nc www.example.com 80 | \
  grep 'Set-Cookie:'
  sleep 1
done
本日のツッコミ(全2件) [ツッコミを入れる]
_ 金床 (2003-10-12 02:02)

HTTP的には改行コードが\nだけだとアレですが…<br>細かいコト突っ込んじゃってすみません。

_ bun (2003-10-12 10:15)

\r\n でしたね。直しました。m(_ _)m

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析