トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-11-04

_ [audit][tool] WebProbe

Web アプリケーションのセッション管理の脆弱性を診断するツール。これだけで全ての診断ができるわけではなく、セッション管理の部分に特化したもの。XSS とか SQL Injection とかは他の手段で診断しましょう。


2003-11-05

_ ABC for input validation paper (beta version)

まだβ版ということで。


2003-11-06

_ WASap

SecuDiaryより。 アプリケーションレベルファイアウォールとして動作する Apache module だとか。Apache 1.3 用。


2003-11-07

_ mod_paramguard

ヽRノ日記より。Apache 1.3.x / 2.0.x 用

システム側でどうにか守ろうとするのはいいんですが、(もちろんAppShieldでも)全てを完璧に守れるわけではないので、穴の無いアプリケーションを作るようにするもの忘れずに。

_ The Anatomy of Cross Site Scripting

Cross site scripting (XSS) flaws are a relatively common issue in web application security, but they are still extremely lethal. They are unique in that, rather than attacking a server directly, they use a vulnerable server as a vector to attack a client. This can lead to extreme difficulty in tracing attackers, especially when requests are not fully logged (such as POST requests). Many documents discuss the actual insertion of HTML into a vulnerable script, but stop short of explaining the full ramifications of what can be done with a successful XSS attack. While this is adequate for prevention, the exact impact of cross site scripting attacks has not been fully appreciated. This paper will explore those possibilities.

本日のツッコミ(全5件) [ツッコミを入れる]

_ みゃー [そこが一番大変なトコロ〜♪]

_ 金床 [いや、大変じゃないっすよ。むしろシステム側で守る方が面倒。]

_ bun [システム側で守れば開発者は楽。開発者ががんばれば管理者は楽。]

_ やまにょん [完全なプログラムがあれば最高ですねー。しかし管理者は財政層・政治層・宗教層の影響によりやはり忙しく動き回ることになる..]

_ そのだ [開発者ががんばる方がぜんぜんお金かからないのに(苦笑)。]


2003-11-09

_ A.D.2003

具合が悪くなってきたので途中で帰って寝込んでました。数名とは濃い話をできたんですが、もっといればもっと濃い話ができたのかと思うととっても残念。

本日のツッコミ(全10件) [ツッコミを入れる]

_ やまにょん [お疲れ様です。やはり夕食を食べ過ぎたのが原因ですか? (苦笑]

_ hiro-t [探してたんですけど、いらっしゃらなかったんでどうされてたのかと思いました。ラーメン食いすぎ?]

_ amaterasu [お疲れ様です。AMA.TERASU@猫です。 AD200Xお疲れ様でした。 さすがにこの年齢になると眠いです。 少..]

_ みゃー [もつかれー。ワショーイ♪また遊ぼうねー。]

_ bun [今度は明るいところでゆっくりとお話しませう>amaterasuさん]

_ みゃー [飲み会やるなら拉致するよぅ♪]

_ totoro [会っていきなり、「黒い人が」とか「濃い人が」とかを、言わないように・・・。 私のような、一般人に言ってはいけません]

_ Fumi-pooh [ぇえー、誰が逸般人でつか(げら]

_ bun [何か間違った呼び方しましたっけ?(笑)]

_ totoro [一般人とは、私の様な善良なる、いち市民を示します。]


2003-11-10

_ はてな

どうもここへは HTTP なネタを求めてくる方が多いようで。申し訳なくてどうでもいいネタを書き込むのを躊躇してしまった場合もあったので、ネタ用日記をはてなに構築してみた。2ヶ所も書き込むのが面倒になったらこっちに統合するということでしばらく使ってみる方向で。

本日のツッコミ(全6件) [ツッコミを入れる]

_ けん [無駄にはてなはどこか探してみましたが、見つかりませんでした(笑]

_ hiro-t [僕もbunとかdevnullとかいろいろ試してみたんですけど、だめでした。]

_ bun [まぁ、適当にネタがたまったら晒すってことで。]

_ みゃー [晒したら荒しに行こう♪(w なんちゃって]

_ やまにょん [こらこら。こういうのはマターリ探すものですよ。]

_ みゃー [探すほど気力ない(´д`;;;]


2003-11-11

_ SQL Injection

各データベース毎にどこまでできるのか調べようとして、MySQL でいきなり詰まった。

SELECT * FROM list WHERE id='$FORM{id}'

こんな SQL な場合に、どうにかしてテーブル名の一覧が取れないかと考えてるんですが、思いつきません。MySQL の「サブクエリーをサポートしていない」という制限に阻まれ先に進めません。いい案キボンヌ。

なぜテーブル名にこだわるかというと、08-27#p02らへんの理由から。

追記:
MySQL 4.xx では サブクエリーや UNION 使えるらしい(未確認)。上の話は手元の実験環境の 3.23.54 が対象ということで。

本日のツッコミ(全4件) [ツッコミを入れる]

_ totoro [あれ?A.D.で、hsjさんが、その辺やっていた様な・・・ あれじゃできないんですかねぇ・・・。]

_ bun [あれは Oracle が前提だそうで。MySQL では、〜(SELECT 〜 とか UNION が使えないので困って..]

_ totoro [たりくるすを、某所(許可得てます)で使ってみたら、大量ヒットしました。 これ、便利ですな。]

_ sanaki [そもそもテーブル一覧が保存されているテーブルがないんでは? show コマンドは union の後で使えないし...]


2003-11-14

_ @IT: 連載: Webアプリケーションに潜むセキュリティホール

第7回 Webアプリケーションの検査(3) 〜 攻撃されないためのセッション管理の検査方法 〜

セッション管理の検査方法については、高木先生の「Webアプリの欠陥検査 実践編」も参照。


2003-11-16

_ Guardian@JUMPERZ.NET

バージョンアップ。複数行に渡るリクエストヘッダが拒否されるようになりました。
関連: [exploitcoding:0179] HTTP リクエスト中で項目が複数行に渡るケース

本日のツッコミ(全2件) [ツッコミを入れる]

_ 金床 [変更点、ご指摘の通りです(笑。面倒なのでCHANGELOG付けてないんですよね、、スミマセン]

_ bun [ソースから推測していると間違えると困るので ChangeLog があるとうれしいなぁ、と言ってみるテスト。]


2003-11-17

_ 警鐘●SQLインジェクションによる不正アクセスに注意(要ログイン)

SQLインジェクションは怖いですねぇ。1箇所でもあると、Blind 使われてデータベースの中身全部抜かれちゃうこともありますし。危険度は XSS と比べ物にならないくらい高いからめったに見つからないかと期待してるんですが、(私が過去に検査したサイトでは)XSS と同じくらいの割合で見つかってます。

SQLインジェクションが何かを知らない人が作ったサイトでもSQLインジェクションの脆弱性がないサイトもあります。特殊文字のサニタイジングはセキュリティどうのこうのにかかわらずやっておかないといけない処理でしょう。それをサボった(もしくはうっかり忘れた)ために生まれた欠陥が、場合によってセキュリティにつながってるだけ。

_ 今まで見た中で最悪のケース

http://www.example.com/some.cgi?sql=SELECT%20FROM%20sometable%20where...

笑うしかありませんでした。

本日のツッコミ(全4件) [ツッコミを入れる]

_ hiro-t [某大手PKIベンダーのページが昔そうだったような… > 最悪のケース]

_ totoro [あー、FWの外に設置して、とんでもない言い訳をした、ニューオータニの近くにあるPKI会社ですね。 すごかったらしいで..]

_ Fumi-pooh [↑の件、内情はよーく知っていますが、口が裂けても絶対に言えまつぇん(-_-;)]

_ totoro [これに限りなく近い物を発見した。 世の中、怖いねぇ]


2003-11-19

_ SOAP Web Services Attacks - Part 1 Introduction and Simple injection

http://www.spidynamics.com/whitepapers/SOAP_Web_Security.pdf (SPILabs of Spidynamics, Inc)

ざっと見てみた。
SQL Injection の例が載ってる。従来のWebアプリケーション(Standard web applications)はパラメータを文字列データとして受け取っていて、

id=hoge&password='or%201%3D1

のように攻撃をしていたけれども、SOAP リクエストでも

<SOAPSDK4:password>'or 1=1</SOAPSDK4:password>

というようにすることでインジェクションが可能、というお話。

HTTP の上に新しいプロトコルを乗っけるのが流行りなのかは知らないけど、プロトコルがいろいろ増えていってもアプリケーションがやらなきゃいけないことは結局同じ。

_ WebScarab

http://sourceforge.net/project/showfiles.php?group_id=64424&release_id=198208よりダウンロードできます。

  • Completely reworked RequestPanel and ResponsePanel, providing support for nearly arbitrary content-types. Currently there are Hex, Text, HTML and SerializedObject viewers, which are invoked automatically accoring to the Content-Type headers. There is also support for tabular editing of message headers. Editors for application/x-www-urlencoded and multi-part forms will be coming shortly.
  • The Text editor mentioned above supports "search" functionality, accessed via Ctrl-F.
  • An interesting feature is the addition of BeanShell scripting functionality, which allows the operator to perform completely arbitrary processing of a request or response. This functionality is available in both the proxy intercept windows, and the "conversation view" windows.
  • SessionID sampling and analysis. This is a new plugin designed to collect a large number of sessionIDs and graph them, so the operator can visually see if there are any patterns. Sessionids are converted to a BigInteger, by means of automatic per-position character set analysis (e.g. aaa, aab, aac == 1, 2, 3 resp, since the aaa does not ever change, and consequently maps to 0)
  • intercepting many requests simultaneously should no longer result in deadlock of the GUI.

中身まで追いかけきれてません。SessionID sampling and analysis ってのはおもしろそう。

でもなんだろう、ごにょごにょいじってるとすぐに固まってしまう。

_ mod_security v1.7.3 released

激しく反応が遅れてますが。

バグフィックス1つ。このバージョンから Windows 用のバイナリも配布されるようになりました。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [_・)裏であんなことしてるから反応がおくれるんダヨ・・]


2003-11-28

_ なんか久々

書こうかなと思ってるネタはあるんですが、消化する余裕がなくてたまっていくばっかりです。いわゆるイッパソイッパソ。

_ N-Stealth 5.2 Free Edition is released

N-Stealth® is a flexible web vulnerability assessment tool.

対象は Web サーバか?Web アプリケーションか?
これから試してみます。

本日のツッコミ(全2件) [ツッコミを入れる]

_ bun [Webサーバですね。]

_ みゃー [なぜここで回答(´д`;;]


無料アクセス解析