ウェブサイトの脆弱性検出ツール iLogScanner

| | コメント(0) | トラックバック(0)

・情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイトの脆弱性検出ツール
http://www.ipa.go.jp/security/vuln/iLogScanner/

ウェブサーバのアクセスログ解析をするJavaアプレット。
危険な攻撃と思われる痕跡を確認することが出来ます。

2008年4月現在は「SQLインジェクション」攻撃を検出できます。
今後、その他のWebアプリケーション攻撃についても対応する予定とのこと。

「iLogScanner」は無償で提供され、情報を一切外部に送信することが無いので、手軽にダウンロードして実行することが出来ます。
ウェブサイトの脆弱性検出ツール iLogScanner / FAQ

外部に情報を送信する事はないそうです。

使ってみた

ウェブサイトの脆弱性検出ツール iLogScanner / FAQ : iLogScannerが動作する環境を教えてくださいによると、動作環境は Windows XP Pro SP2 + IE7 + JRE 5.0 を想定しています。
しかし、他の環境でも一部動作を確認してるとの事。
今回、実行してみた環境は、Windows 2000 Pro SP4 + IE6 + JRE6.0。

数ヶ月分のApacheのログを食べさせてみました。
Apacheの「Common Log Format (common)」に対応してますが、今回使用したログはcombinedでした。
それでも、ぱっと見、ちゃんと動いたっぽい。

最初に、「アクセスログ形式」「ログファイル名」「出力ディレクトリ」を指定して「解析開始」ボタンを押します。

iLogScanner

「解析実行中」ウィンドウが表示されます。

iLogScanner

解析の結果が表示され、レポートファイルとログファイルが作成されます。

iLogScanner

今回は、「攻撃があったと思われる件数」が3件ありました。
ログファイルを参照すると、全て404でした。

・ログファイル

  440874  SQLインジェクション  -  65.69.xxx.xxx - - [07/Feb/2008:22:34:58 +0900] "GET /path/to/archives/index.php?option=com_downloads&Itemid=S@BUN&func=selectfolder&filecatid=-1/**/union/**/select/**/concat(username,0x3a,password),concat(username,0x3a,password),concat(username,0x3a,password)/**/from/**/mos_users/*http://www.eshqs.com/error.txt??? HTTP/1.1" 404 236 "-" "libwww-perl/5.808"
  440875  SQLインジェクション  -  65.69.xxx.xxx - - [07/Feb/2008:22:34:59 +0900] "GET /index.php?option=com_downloads&Itemid=S@BUN&func=selectfolder&filecatid=-1/**/union/**/select/**/concat(username,0x3a,password),concat(username,0x3a,password),concat(username,0x3a,password)/**/from/**/mos_users/*http://www.eshqs.com/error.txt??? HTTP/1.1" 404 207 "-" "libwww-perl/5.808"
  440876  SQLインジェクション  -  65.69.xxx.xxx - - [07/Feb/2008:22:34:59 +0900] "GET /path/to/index.php?option=com_downloads&Itemid=S@BUN&func=selectfolder&filecatid=-1/**/union/**/select/**/concat(username,0x3a,password),concat(username,0x3a,password),concat(username,0x3a,password)/**/from/**/mos_users/*http://www.eshqs.com/error.txt??? HTTP/1.1" 404 227 "-" "libwww-perl/5.808"

なお、Windows 2000 Pro SP4 + Firefox 2.0 + JRE6.0 でも実行してみましたが、アプレットが起動しませんでした。

機能追加 (2008/11/11 追記)

・情報処理推進機構:情報セキュリティ:SQLインジェクション検出ツール「iLogScanner」を機能強化
http://www.ipa.go.jp/security/vuln/iLogScanner.html

情報処理推進機構(IPA)は11日、WebサーバーのアクセスログからSQLインジェクション攻撃を検出するツール「iLogScanner」をバージョンアップした。検出可能な攻撃パターンの強化、検出対象のアクセスログフォーマットの追加、動作プラットフォームの拡大を図った。
IPA、SQLインジェクション検出ツールを機能強化

「解析実行中」ウィンドウに、「OSコマンドインジェクション」「ディレクトリトラバーサル」「クロスサイトスクリプティング」「その他」が追加されていました。

iLogScanner

出力されるログの先頭部分にはこう↓書かれてましたが、「●」が付いてるログはありませんでした。

#解析結果ログの見方
#----------------------------------------------------------------
#[ログファイル名]
#[行番号] [脆弱性種別] [攻撃が成功した可能性が高い] [該当するアクセスログ] [シグネチャ対応コード]
#----------------------------------------------------------------
#※ 各項目はタブ区切りになります
#※ 攻撃が成功した可能性が高い場合、「●」がつきます
#以下、解析結果ログ

「OSコマンドインジェクション」として検出したログには、こんな感じ↓のログが残ってました。

<URL>+[PLM=0]+GET+<URL>+[0,22470,29483]+->+[N]+POST+<URL>+[0,0,3133]

「ディレクトリトラバーサル」として検出したログには、こんな感じ↓のログが残っていて、親ディレクトリへアクセスを試みてました。

(略)../../../../etc/passwd

「その他」は以下のようなものらしい。

16進コード、親パス等の特殊文字を使用して、偽装した攻撃用文字列で攻撃が行われています。 これにより、アプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプティング等の攻撃を行うことを狙ったものです。 また、ワームなどが悪用する Web サーバの脆弱性を突いた攻撃でも、このような特殊文字が使われます。それぞれの攻撃に応じた対策が必要になります。
iLogScanner 解析結果レポート (ログと一緒に出力される)

今回はMTのコメント(captcha)用のセッションキーを引っかけてるように見えました。

トラックバック(0)

このブログ記事を参照しているブログ一覧: ウェブサイトの脆弱性検出ツール iLogScanner

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/485

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2008年5月21日 00:11に書いたブログ記事です。

ひとつ前のブログ記事は「古いエントリの変更履歴 (2008/03)」です。

次のブログ記事は「Microsoft Baseline Security Analyzer 2.1」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261