URLScan の検出

| | コメント(0) | トラックバック(0)

IISのフィルタリングツール「URLScan」を検出できてしまうお話。

・UrlScan Security Tool
http://www.microsoft.com/technet/security/tools/tools/urlscan.asp


「SecurityFocus HOME Mailing List: BugTraq」よると・・・

・URLScan detection
http://www.securityfocus.com/archive/1/323389

URLScanを検出されないようにするには、「UseFastPathReject=1」としましょうという話(かな?)。

・Re: URLScan detection
http://www.securityfocus.com/archive/1/323655

「UseFastPathReject=1」とすると、別の方法で検出されるよという話。


・・・ということだと思います。。。

1つめのURLでは

正常系。
存在しないURLにHEADリクエストを送ると、ステータス404のヘッダーのみが返ります。

Request:
HEAD /OMG HTTP/1.1
Host: iis
Connection: close
 
Response:
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Tue, 28 May 2002 04:30:42 GMT
Content-Length: 4040
Content-Type: text/html

検出可能な状態。
URLScanがはじくはずの「*.exe」にHEADリクエストを送ると

Request:
HEAD /OMG.exe HTTP/1.1
Host: iis
Connection: close
 
Response:
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Tue, 28 May 2002 04:32:15 GMT
Connection: close
Content-Length: 4040
Content-Type: text/html
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html dir=ltr>
[huge page of HTML snipped]

となり、BODYも返るとの事。
この違いにより、URLScanを検出できてしまうということらしいです。

ちなみに、RFC 2616 のセクション 9.4には、

HEAD メソッドは、サーバがレスポンスにおいてメッセージボディを返してはならない事を除けば GET と同一である。

となっています。

私はこの動作を「Microsoft-IIS/5.1」+「UrlScan.dll 6.0.3615.0」で確認しました。

2つめのURLでは

1つめのURLで、「UseFastPathReject=1」とすればいいとされていました。

「UseFastPathReject=1」とすると、リジェクトするときに、「一般的な 404 メッセージ」を送ります。
そのサイトが 404 の時「カスタム 404 メッセージ」を送る様に設定されているとしたら、「一般的な 404 メッセージ」か「カスタム 404 メッセージ」の違いで URLScan を検出できてしまうということが書かれています(多分)。

私の認識だと、「UseFastPathReject=1」にしても、HEADメソッドを実行した時に、相変わらず、HTTP BODY(「一般的な 404 メッセージ」)を返してしまうので、UrlScanを検出できてしまうと思うんですが、違うのかな?

また、返って来るHTTPヘッダのステータスコードによって判別がつくというお話も書かれています(だと思う)。

更に、「OPTION」メソッドを使って、

Request:
OPTIONS /index.htm

とすると、

URLScanがなければ 200 が
URLScanがOPTIONメソッドをブロックすると 404 が
返ると指摘しています(多分)。

私はこのOPTIONSメソッドの動作を「Microsoft-IIS/5.1」+「UrlScan.dll 6.0.3615.0」で確認しました。

トラックバック(0)

このブログ記事を参照しているブログ一覧: URLScan の検出

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/73

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2003年8月 4日 01:41に書いたブログ記事です。

ひとつ前のブログ記事は「PTRSのセキュリティツール」です。

次のブログ記事は「ColdFusion MX 6.1 リリース」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261