WEBサーバの最近のブログ記事

・[Apache-Users 5853] SSL 通信による CA( 認証局 ) の選択 (Apache-Users 2006年2月 保存書庫 スレッド)
http://mm.apache.or.jp/pipermail/apache-users/2006-February/thread.html#6043
から始まるスレッドを読んでました。
参考になります。


・個人情報保護法時代のIISセキュリティ対策(後編) − @IT
http://www.atmarkit.co.jp/fwin2k/operation/iisssl02/iisssl02_01.html
なんとなく検索してたら見つかったページ。
「サーバ証明書サービスの選択」という章。

Apacheの拡張子の処理の話し。

ファイル名が basename.ext1.ext2 の場合に、
  • ext1 と ext2 の両方のメタ情報が定義されていれば、より右側にある ext2 のメタ情報が採用される。たとえば foo.gif.html は通常 text/html にマップされる。 (.gif が image/gif にマップされ、.html が text/html にマップされている場合など)
  • ext1 のメタ情報だけが定義されていれば、ext1 のメタ情報が採用される。たとえば foo.gif.bak は通常 image/gif にマップされる。 (.gif が image/gif にマップされ、.bak には何もマップされていない場合など)
[Full-disclosure] Bug with .php extension? (セキュリティホール memo)

・Apache module mod_mime
http://httpd.apache.org/docs/1.3/mod/mod_mime.html
Apache 1.3のmod_mimeモジュールのマニュアル

・mod_mime - Apache HTTP サーバ
http://httpd.apache.org/docs/2.0/mod/mod_mime.html
Apache 2.0のmod_mimeモジュールのマニュアル

・mod_mime - Apache HTTP サーバ
http://httpd.apache.org/docs/2.2/mod/mod_mime.html
Apache 2.2のmod_mimeモジュールのマニュアル

「あー、そういう風に処理してたんだー。なるほどー」と思ったので、めもめも。

・CookieDigger (Foundstone, Inc. Strategic Security)
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/cookiedigger.htm

WEBアプリケーションのCOOKIEを収集・分析・レポートするツール。
COOKIEの値と任意の文字列のハッシュ値と比較したり、(BASE64/URL)デコードしたり、任意の文字列を検索したりして、手動で分析するようです。

Neohapsis Archives - Pen-Test - #0028 - New Free Tool - Foundstone CookieDigger
http://archives.neohapsis.com/archives/sf/pentest/2005-05/0028.html

ログファイル、XMLファイル、CSVファイルのようなテキストベースのデータや、エベントログ、レジストリー、ファイルシステム、アクティブディレクトリのデータを、条件を指定して抽出するツール。

今まで、Log Parser 2.1を使っていましたが、Log Parser 2.2が出ていたので、ちょっと使ってみました。

SEE:
IIS 6.0 Resource Kit Tools (このblogより)

・ScriptCenter Tools: Log Parser 2.2
http://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx

・Download details: Log Parser 2.2
http://www.microsoft.com/downloads/details.aspx?familyid=890cd06b-abf8-4c25-91b2-f8d975cf8c07&\1displaylang=en

2005/05/04 現在のバージョンは、2.2.10。
前見たときは2.2.9だったので、時々マイナーバージョンアップしてるみたい。

(2005/05/17/ 追記 ここから)
・ダウンロードの詳細 : Log Parser 2.2 日本語版
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07
日本語版が公開されたようです。(2005/05/12 : 2.2.10)
ヘルプはサンプルが日本語になっています。
(2005/05/17/ 追記 ここまで)

デフォルトのインストール先は「C:\Program Files\Log Parser 2.2\」です。

・IIS を削除して再インストールした後、IIS マッピングを修復する方法
http://support.microsoft.com/default.aspx?scid=kb;ja;306005

IISを再インストールすると ASP.NET 用の設定が消えちゃうから、マッピングしなおす方法。

ずっと「どうするのかなぁ?」って思ってた。(けど、調べなかった)
数ヶ月以内に使いそうだったから、調べたら、調べたら一発で出てきた。

忘れないうちにめも。

・The Hacker's Choice :: THC
http://www.thc.org/

WEBサーバーのSSLのサポート状態を調べるツール。
弱いものをサポートしてないかチェックするものっぽい。

・Guardian@JUMPERZ.NET - Open Source Web Application Firewall
http://guardian.jumperz.net/index.html

リバースプロキシとして動作する HTTP サーバです。
サーバ側で使うもの。
パターンにマッチしたリクエスト、レスポンスに対して、ロッギング、切断、コマンド実行などが出来ます。

Apache専用の「mod_secury」に似ているらしい。
(mod_securyを触った事ないので・・・)

Javaで書かれています。
配布されているjarファイルの中にはコードが含まれています。

HTTP/HTTPS対応。
HTTPSで動作した場合、「Guardian@JUMPERZ.NET」←→「WEBサーバ」間はHTTPな通信になります。

・ユーザーズマニュアル日本語版 (Guardian@JUMPERZ.NET)
http://guardian.jumperz.net/manual/ja/body.html

・Rule Database
http://guardian.jumperz.net/index.html?i=004
新しいルールが追加されていくようです。
時々確認しましょう?

「jumperz_net.jar」ファイルのバージョン 071 を使ってみました。

中の人の「金床」さんが別のエントリに書き込みしてくれたので、記念エントリ。(違)

・SourceForge.net: Project Info - webstretch
http://sourceforge.net/projects/webstretch/

Proxyとして動作して、HTTPリクエストを表示/変更して、Webサイトを評価するツール。

Java 1.3 以上が必要です。
Java上で走るので、OS非依存です。

2004/07/15現在のバージョンは 0.1.6。
Windows2000上で使ってみました。

・WebGoat (SourceForge.net: Project Filelist)
http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=61824

・OWASP
http://www.owasp.org/index
作者(?)

実際に脆弱性をもつWebアプリケーションを動かしながら、Webアプリケーションのセキュリティの勉強ができます。
Javaで書かれています。

Windows2000上で動かしました。
2004/06/23現在のバージョンは、3.0b。

WebGoat 3.0b ("週"記(2004-06-22))」経由

・Burp spider (PortSwigger.net - web application hack tool)
http://portswigger.net/spider/

Webサイトの評価ツール。

始点URLを指定すると、リンク、フォームを自動巡回してTreeで構造を表示します。
HTTP ステータスのエラー(2xx以外?)が表示されます。

JAVAで書かれています。
JavaScriptを解釈します。(どの程度かは未確認)
フォームがあると、入力ウィンドウが表示されるます(デフォルト)。
設定によっては自動サブミットできるようです。
COOKIEに対応しています。
WWW認証に対応しています。
PROXYに対応しています。

プレビューが見えたり、レスポンスがファイルに保存される訳ではありません。

404 (Not Found) や500 (Internal Server Error のページ探しとかにつかえるかな。
"SQL injection」や「directory traversal」の様な特定の脆弱性をチェックできる(しやすい?)"ようですが、手動でフォームに怪しい値を入力していくと言うことかな?
「こう使うものだ!」と言うのがあったら、教えてください。

・SiteDigger (Foundstone, Inc Strategic Security)
http://www.foundstone.com/index.htm?subnav=services/navigation.htm&subcontent=/services/overview_s3i_des.htm

ドメインを指定して、「攻撃を受けやすいページ」「設定情報」「エラー」「バックアップファイル」などをGoogleのキャッシュから検索してくれるツール。
管理下にあるサイトの保守に使うツール。

「Google web services API license key」が必要です。
以下サイトから入手すること。

・Google Web APIs - Home
http://www.google.com/apis/

[IIS] INFO : Web サーバーの負荷テスト ツール
http://support.microsoft.com/default.aspx?scid=kb;ja;jp231282

  • Web Capacity Analysis Tool
  • Web Application Stress Tool
  • InetMonitor

が紹介されています。

・Pathalizer: Visual website usage analysis
http://pathalizer.bzzt.net/

「Pathalizer」はWebのログファイルからユーザがどのような経路を通ったかを解析しグラフィカルな結果を出力するソフトです。
PDFやJPEGやPNG形式のファイルに出力できます。

例えば、このログファイル (pathalizer.bzzt.net) はこの設定ファイル (pathalizer.bzzt.net) を使ってこう (pathalizer.bzzt.net) 出力されます。

今回使ってみた環境は RedHat Linux 7.3。(珍しくWinじゃない)

「INSTALL_MSWIN」というファイルも含まれていて、MSVCを使ってWindowsにインストールする方法が書かれています。
Windowsの場合、「pathalizer-compile.bat」というバッチファイルを使ってコンパイルができます。


・WebProbe
http://www.softek.co.jp/Sec/WebProbe/

WebProbeはWebアプリケーションに潜むセッション管理の欠陥を簡単な操作で自動的に検出・検証する脆弱性検査ツールです。

有償です。
一応、メモだけ。

Niktoはオープンソース(GPL)のWebアプリケーションセキュリティ評価ツールです。
危険性のあるファイルなど、WEBサーバのアイテムをテストします。

HTTPとHTTPSのチェックを行えます。
(Windows版は現在HTTPSはできない?Net::SSL moduleがあればいいのかな?)

Perlスクリプトなので、Perlが必要です。

ターゲットのWEBサーバに沢山のリクエストを投げます。
テストをする権限のないサーバにはやらないこと。

2003/10/31現在のバージョンはNikto 1.32 (Core version 1.19)。

他のWebアプリケーションセキュリティ評価ツールにParosなどがあります。
SEE:
Paros (このblogより)

・ProofSecure.com - Web Application Security
http://www.proofsecure.com/index.shtml

JavaでかかれたWebアプリケーションセキュリティ評価ツール。
HTTP、HTTPS、クライアント証明書にも対応しているみたい。

自分(管理下)のWebアプリケーションのセキュリティチェックにのみ使い、悪用はしないこと。

2003/10/23現在のバージョンは3.0.2。

他のWebアプリケーションセキュリティ評価ツールにNiktoなどがあります。
SEE:
Nikto (このblogより)

WEBのログを解析するフリーなソフトをいくつか調べてみました。

個人的には定番の「Webalizer」や「Analog」がいいな。

生ログから必要なレコードを抽出するには、「ApacheLogViewer」もいいと思います。
ある程度条件が限られますが。

■ ユーザーエージェント(UA)の例

Windows Media Player 9
NSPlayer/9.0.0.2980
NSPlayer/9.0.0.2980+WMFSDK/9.0
WMPlayer/9.0.0.2980 (2005/01/19 追記)
など

Windows Media Player 10 (2005/01/19 追記)
NSPlayer/10.0.0.3650 WMFSDK/10.0
など

QuickTime Player
QuickTime (qtver=6.3;os=Windows+NT+5.1Service+Pack+1)
など

RealOne Player
RMA/1.0+(compatible;+RealMedia)
など

のようです。

・Logrep logfile extraction and reporting
http://logrep.sourceforge.net/

ログ解析用のPerlスクリプト。
解析後、HTMLでレポートが作成されます。

対応ログは、Snort, Squid, Postfix, Apache, Sendmail, Syslog, Ipchains, Iptables, Xferlog, NT event logs, Firewall-1, Wtmp, Oracle listener and Pixなど、15種類以上。

レポートは見にくいかも・・・?

Webアプリのテストに使えるHTTPリクエスト/レスポンスを見るツールたち。
他にも色々あると思いますが、とりあえず。

(2004/03/28 修正)
怪しい(?)リクエストを投げて、そのHTTPレスポンスからWebサーバを推測するツールたち。

・Download details: Internet Information Services (IIS) 6.0 Resource Kit Tools
http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en

  • ログファイルの問い合わせ
  • SSL証明書の配置
  • サイト証明
  • パーミッションの確認
  • 問題解決
  • サーバ移動
  • 負荷テスト
などのツールが含まれているようです。

Windows Server 2003, Windows XPで動きます。
ただし、一部の機能はWindows XP Professionalで使えません。

Windows 2000 では、

> iis60rkt.exe /V/a

として展開して、必要なツールを抜き出せば使えます。
(Log Parserは使えるそうです)

気になったので、メモ。

・[Newbie 4017] ダイナミックDNS下での NameVirtualHost
http://mm.apache.or.jp/pipermail/newbie/2003-September/004010.html

・[Newbie 4018] Re: ダイナミックDNS下での NameVirtualHost
http://mm.apache.or.jp/pipermail/newbie/2003-September/004011.html

・[Newbie 4020] Re: ダイナミックDNS下での NameVirtualHost
http://mm.apache.or.jp/pipermail/newbie/2003-September/004013.html

ら辺。

このアーカイブについて

このページには、過去に書かれたブログ記事のうちWEBサーバカテゴリに属しているものが含まれています。

前のカテゴリはWebCrawlerです。

次のカテゴリはこのソフト使ってみるかなぁです。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

ike on Cygwinのddコマンドでisoイメージを作成する: みんさん なるほど。 CD-ROMのブ
みん on Cygwinのddコマンドでisoイメージを作成する: 文中、 dd bs=1024k if=/
ike on ゴミ箱から削除されたとき、復元不可能にするツールってないかな?: double_starさん。お久しぶりで
double_star on ゴミ箱から削除されたとき、復元不可能にするツールってないかな?: どうも私も忘れてました。説明不足ですみま
ike on ゴミ箱から削除されたとき、復元不可能にするツールってないかな?: double_starさん。はじめまして
double_star on ゴミ箱から削除されたとき、復元不可能にするツールってないかな?: はじめまして。おはようございます(笑)
ike on Startup Control Panel / StartupMonitor: ぷちさん、こんにちは。 「プログラムの
ぷち on Startup Control Panel / StartupMonitor: 私はインストーラーバージョン(英語)でコ
ike on 第05回まっちゃ445勉強会: あ、ゆまのさん。補足ありがとうございます
ゆまの on 第05回まっちゃ445勉強会: >どの本を使ったとかも話してくれたけど、
more...
Powered by Movable Type 4.261