トップ «前の日記(2003-11-17) 最新 次の日記(2003-11-28)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-11-19

_ SOAP Web Services Attacks - Part 1 Introduction and Simple injection

http://www.spidynamics.com/whitepapers/SOAP_Web_Security.pdf (SPILabs of Spidynamics, Inc)

ざっと見てみた。
SQL Injection の例が載ってる。従来のWebアプリケーション(Standard web applications)はパラメータを文字列データとして受け取っていて、

id=hoge&password='or%201%3D1

のように攻撃をしていたけれども、SOAP リクエストでも

<SOAPSDK4:password>'or 1=1</SOAPSDK4:password>

というようにすることでインジェクションが可能、というお話。

HTTP の上に新しいプロトコルを乗っけるのが流行りなのかは知らないけど、プロトコルがいろいろ増えていってもアプリケーションがやらなきゃいけないことは結局同じ。

_ WebScarab

http://sourceforge.net/project/showfiles.php?group_id=64424&release_id=198208よりダウンロードできます。

  • Completely reworked RequestPanel and ResponsePanel, providing support for nearly arbitrary content-types. Currently there are Hex, Text, HTML and SerializedObject viewers, which are invoked automatically accoring to the Content-Type headers. There is also support for tabular editing of message headers. Editors for application/x-www-urlencoded and multi-part forms will be coming shortly.
  • The Text editor mentioned above supports "search" functionality, accessed via Ctrl-F.
  • An interesting feature is the addition of BeanShell scripting functionality, which allows the operator to perform completely arbitrary processing of a request or response. This functionality is available in both the proxy intercept windows, and the "conversation view" windows.
  • SessionID sampling and analysis. This is a new plugin designed to collect a large number of sessionIDs and graph them, so the operator can visually see if there are any patterns. Sessionids are converted to a BigInteger, by means of automatic per-position character set analysis (e.g. aaa, aab, aac == 1, 2, 3 resp, since the aaa does not ever change, and consequently maps to 0)
  • intercepting many requests simultaneously should no longer result in deadlock of the GUI.

中身まで追いかけきれてません。SessionID sampling and analysis ってのはおもしろそう。

でもなんだろう、ごにょごにょいじってるとすぐに固まってしまう。

_ mod_security v1.7.3 released

激しく反応が遅れてますが。

バグフィックス1つ。このバージョンから Windows 用のバイナリも配布されるようになりました。

本日のツッコミ(全1件) [ツッコミを入れる]
_ みゃー (2003-11-19 17:58)

_・)裏であんなことしてるから反応がおくれるんダヨ・・

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析