SiteDigger

| | コメント(0) | トラックバック(1)

・SiteDigger (Foundstone, Inc Strategic Security)
http://www.foundstone.com/index.htm?subnav=services/navigation.htm&subcontent=/services/overview_s3i_des.htm

ドメインを指定して、「攻撃を受けやすいページ」「設定情報」「エラー」「バックアップファイル」などをGoogleのキャッシュから検索してくれるツール。
管理下にあるサイトの保守に使うツール。

「Google web services API license key」が必要です。
以下サイトから入手すること。

・Google Web APIs - Home
http://www.google.com/apis/

使ってみる

●下準備

「Google license key」を入手します。
今回は、以前取得したものがまだ使えたのでそれを使いました。
詳細なとり方は忘れちゃったけど、メールアドレスを入力すると、メールでライセンスキーが送られてくるんだっけな?

● 実行する

SiteDiggerを起動します。

「Options」>「Update Signatures」を実行して、シグネチャを最新にします。

「Signatures」タブを開いて検索するシグネチャを選択します。
特に理由がない限り全て選択しておいていいでしょう。

2004/05/31現在のシグネチャのカテゴリは以下の7つでした。

  • BACKUP FILES
  • CONFIG MANAGEMENT
  • ERROR MESSAGES
  • PRIVACY RELATED
  • REMOTE ADMIN INTERFACE
  • REPORTED VULNS (=Vulnerabilities)
  • TECHNOLOGY PROFILE

「Results」タブを開きます。

右下の「Enter Google license key」に取得した「Google license key」を入力します。

「Please enter a domain」と入力されている左上のテキストボックスに検査対象のドメイン(普通は自分のドメインですね)を入力します。
この文字列がGoogle検索キーワードの「site:」に対応してるんじゃないかな?
「example.jp」と入力すると、Googleで「site:example.jp」を検索した感じ?

「Search」ボタンを押して検索を開始します。

「Export Results」ボタンを押すと、結果をHTMLファイルに出力され、表示されます。

SiteDiggerの結果画面

シグネチャを自分で書く

シグネチャは「[インストールフォルダ]\schema.xml」です。
普通は「C:\Program Files\Foundstone\SiteDigger\schema.xml」。
utf-8で保存すること。

<signature>
  <signatureReferenceNumber>(通し)番号</signatureReferenceNumber>
  <categoryref>カテゴリ(?)</categoryref>
  <category>カテゴリ名</category>
  <querytype>クエリータイプ</querytype>
  <querystring>検索キーワード</querystring>
  <shortDescription>短い説明</shortDescription>
  <textualDescription>長い説明</textualDescription>
  <cveNumber>CVE Number</cveNumber>
  <cveLocation>CVE URL</cveLocation>
</signature>

となっているので、適当に書き加えれば良さそうです。

カテゴリ(?)は以下のようになってるようです。

S[(通し)番号] = BACKUP FILES
C[(通し)番号] = CONFIG MANAGEMENT
E[(通し)番号] = ERROR MESSAGES
P[(通し)番号] = PRIVACY RELATED
RA[(通し)番号] = REMOTE ADMIN INTERFACE
RV[(通し)番号] = REPORTED VULNS
T[(通し)番号] = TECHNOLOGY PROFILE

クエリータイプに何を書けば良いか分かりませんでした。
「DON」か「DONT」が書かれてるみたいだけど?

NOT FOUND (404) っぽいページを検索するsignatureはこんな感じかな?
(と思ってたんだけど、404はGoogleでキャッシュしないだろうから、意味ないと思います。(2004/06/02 追記))
どこかからデッドリンクされてるページが分かる??
実用的じゃないな・・・。
ログを見た方が、はやいし、アクセス数がわかっていいか・・・。

<signature>
  <signatureReferenceNumber>200</signatureReferenceNumber>
  <categoryref>E40</categoryref>
  <category>ERROR MESSAGES</category>
  <querytype>DONT</querytype>
  <querystring>intitle:"Not Found"</querystring>
  <shortDescription>Not Found</shortDescription>
  <textualDescription>404 File Not Found</textualDescription>
  <cveNumber>0</cveNumber>
  <cveLocation>http://example.jp</cveLocation>
</signature>

その他

WEBサーバエラーメッセージをキーワードにして検索エンジンで検索して、クラックしやすいサイトを探す話は聞いたことあります。
この解説はダウンロードしてきたSiteDiggerの圧縮ファイルの中のPDFファイルにもかかれていました。(英語)
その動作を自動化して、管理サイトの脆弱性を見つけるわけですね。

検索結果に表示されたURLにアクセスしてもエラーが出ない場合は、Googleのサイトでキャッシュを確認すると良いかもしれません。

http://www.google.com/search?q=cache:[検索結果のURL]

「api.google.com」にガンガン問い合わせしてるだけみたいなので、サーバ側のログには残らないはず。
悪さはしないよう。

全然違うドメイン名の検索結果が出る事があるんですが、何でしょうか?

Googleキャッシュにあって、条件を満たすものは全て結果に出るんでしょうか?
似たページとして除かれたり(filter=0の動作をしない)とかありそう?
それ以上に取りこぼしが多い気がする。
1つのシグネチャにつき、1件しか表示しないとか?

シグネチャの「querystring」に日本語を書くと、Exceptionが発生するっぽい?

Googleのキャッシュを検索しているので、Googlebotが入れない場所(パスワードがかかっているなど)の検査は出来ないということで。

自分の管理下のサーバに直にリクエストを送ってチェックするツールを使うのもいいかも。

リンク

・Google検索による機密情報漏洩を防げ〜米Foundstoneが無料検査ツール
http://internet.watch.impress.co.jp/cda/news/2004/05/28/3275.html
Internet Watchの「SiteDigger」紹介記事。

トラックバック(1)

このブログ記事を参照しているブログ一覧: SiteDigger

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/295

» [Tool] SiteDigger (Foundstone, Inc Strategic Security)(システム管理な雑記 -- Sleeve notes of a sysadmin --)~のトラックバック

[Tool] SiteDigger (Foundstone, Inc Strategic Security) 続きを読む

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年5月31日 07:21に書いたブログ記事です。

ひとつ前のブログ記事は「Internet Explorerの修復」です。

次のブログ記事は「大量のデータのdeleteをすばやく行う方法」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261