まったり技術ブログ

主にWebエンジニア向けのセキュリティブログ。たまに開発も

HTTPS通信をNginxでフォワードプロキシ

f:id:motikan2010:20200318151440p:plain:w600
  • はじめに
    • HTTPS通信をプロキシする「ngx_http_proxy_connect_module」モジュール
  • 環境構築
    • Nginx と モジュール の ダウンロード & インストール
    • Nginx の 設定 & 起動
  • 動作確認
  • ダイナミック(動的)モジュール
  • 参考
  • 更新履歴

はじめに

 Nginxでは「proxy_pass」ディレクティブを指定することでフォワードプロキシとして動作させることが可能です。

 しかし、モジュール等を追加していない素のNginxの場合、HTTPS通信をフォワードプロキシすることはできません

f:id:motikan2010:20200318153058p:plain:w500
続きを読む

【PR】Githubスターが100超えたから紹介【セキュリティ】

f:id:motikan2010:20200306023529p:plain:w600
  • はじめに
  • 「PoC-in-GitHub」とはどのようなリポジトリ? 👉 オススメ度:★★★
  • その他リポジトリも紹介させて!
    • NVD情報を保存している「NVD-Database」 👉 オススメ度:★
    • CVEをリスト化している「CVE-Easy-List」 👉 オススメ度:★★★★
    • CVEのExploitがリスト化されている「NVD-Exploit-List-Ja」 👉 オススメ度:★★
  • おまけ
    • 裏方アカウント
    • 脆弱性をリスト化することによる副作用
  • まとめ
  • 更新履歴

はじめに

 先日私が作成したGitHubリポジトリのスター数が100を超えました!

圧倒的感謝!(-人-)謝謝

 3桁になったのは初めてのことであり嬉しいので、どのようリポジトリであるのかを紹介することにします。
ついでに他のリポジトリも紹介させて! +私自身のリポジトリ確認頻度でオススメ度を決めています。

人によってはきっと役に立つはず。

 100個を超えたことに気づいている様子が以下のツイートです。

ちなみに100個目の記念スター⭐️は自分自身で付けようと思っていましたが、就寝中であり付けられませんでした。

続きを読む

【Webセキュリティ】Apache Dubbo の脆弱性をやる(CVE-2019-17564)

f:id:motikan2010:20200214224225p:plain
  • はじめに
    • Apache Dubbo とは
      • 脆弱性について
    • 影響を受けるバージョン
    • 解決策
  • 検証環境の準備
    • Apache ZooKeeper を起動
    • アプリケーションの修正と起動
  • 脆弱性の検証
    • ysoserial を使ってペイロードを生成
    • ペイロードの中身を確認
    • ペイロードの送信
    • 修正版 2.7.5 で試してみる
  • 参考
  • 更新履歴

はじめに

 2020年2月10日にApache Dubbo の脆弱性が公表されました。
CVE-2019-17564が登録されたのは2019年10月14日のようです。

 本脆弱性の内容を一言で言うと、「安全でないデシリアライゼーションのJava版」です。

 こちらのメールにて Dubboプロジェクトチーム に対して本脆弱性が伝えられています。
https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

 CVE STALKER のデイリーランキングでは7位になっています。
f:id:motikan2010:20200214001856p:plain:w600

続きを読む

【Python】Waitress の ReDoS をやってみる(CVE-2020-5236)

f:id:motikan2010:20200205224320p:plain
いらすとや産のPython

  • はじめに
    • Waitress とは
  • 検証
    • 検証バージョン
    • 環境構築
    • ReDoS をしてみる
      • 脆弱なバージョン 1.4.2
      • パッチ適用バージョン 1.4.3
      • 脆弱性が存在しないバージョン 1.4.1
  • 脆弱性を掘り下げる
    • 修正コミット
    • 修正前 と 修正後 の正規表現
      • 簡単に負荷の大きい正規表現を試す
    • 遅い原因を考えてみる
  • 参考
    • 本脆弱性の情報
    • ReDoSの情報
  • 更新履歴

はじめに

 GitHub Advisory Database - CVE-2020-5236緊急度が Critical(最も危険) となっていたので調べてみました。

f:id:motikan2010:20200205214545p:plain:w700
GitHub アドバイザリ - CVE-2020-5236

 影響を受ける Waitress のバージョンは1.4.2のみです。
リリースのタイムラインは以下のようになっています。2020年1月中に導入した人はバージョンを確認してみたほうがよいでしょう。(※本脆弱性以外にも過去のバージョンには他の脆弱性が見つかっているようでした。)

  • 1.4.2 2020年 1月 2日 リリース
  • 1.4.3 2020年 2月 2日 リリース

Waitress — waitress 1.4.3 documentation

Waitress とは

 あまり耳にしないソフトウェアだと思う「Waitress」は何かと言うと、「WSGI サーバ」らしい。

 WSGI サーバとは何ぞやというと、

Web Server Gateway Interface (WSGI; ウィスキー) は、プログラミング言語Pythonにおいて、WebサーバとWebアプリケーション(もしくはWebアプリケーションフレームワーク)を接続するための、標準化されたインタフェース定義である。

by Wikipedia

つまり、
  Django や Bottle といったPython言語のWebアプリケーションフレームを動作させる為のアプリケーションサーバとのこと。
 Ruby界隈で例えると Unicorn に近い役割を持っているWebサーバだと思う。

 WSGI サーバーについてのより詳しい内容は以下の記事が参考になりました。
WSGIアプリケーションとは?WebフレームワークからWSGIサーバーまで - Make組ブログ

 今回脆弱性が発見された「Waitress」はそのようなソフトウェアの1つということです。

 どのくらい普及しているのかというと、GitHub の 約12,800個のリポジトリで利用されていることから、そこそこ普及しているWebサーバだと思います。

f:id:motikan2010:20200205215037p:plain:w700
2020/2/5 現在

 そんな Waitress から ReDoS(Regular expression Denial of Service) の脆弱性が発見されました。
本脆弱性の再現には特別な設定等は必要なく、さらに攻撃方法が容易ということで簡単に再現してしまうことから緊急度が Critical となっていると思います。

github.com

続きを読む

【Webセキュリティ】依存ライブラリのセキュリティチェックツールを使ってみる

f:id:motikan2010:20200129012730p:plain
  • はじめに
  • 言語別 ツール一覧
    • PHP
      • sensiolabs / security-checker
        • 使い方
        • 脆弱性データベース
        • Web版
    • Ruby
      • rubysec / bundler-audit
        • 使い方
      • 脆弱性データベース - rubysec / ruby-advisory-db
    • Python
      • pyupio / safety
        • 脆弱性データベース
        • 使い方
        • 詳細情報レポートの取得。 --full-report オプション
    • Java
      • jeremylong / DependencyCheck
      • Gradle用 jeremylong/dependency-check-gradle
    • JavaScript
      • Npm標準ツール - npm-audit
        • 脆弱なパッケージをアップデートする " npm audit fix " コマンド
  • まとめ
  • 更新履歴

はじめに

 まず「依存ライブラリのセキュリティチェックツール」とは?ということですが、このようなツールの呼び方が定まっていないため本記事ではこのような呼び方にしています。
これらのツールの特徴として、動作しているアプリケーションが依存しているライブラリやパッケージに既知の脆弱性が存在していないかをバージョン情報などをもとに検査します。脆弱性があるバージョンのライブラリがあるとアラートを出す挙動をします。

 従来から利用されている Burp Suite や OWASP ZAP などのWebセキュリティ診断ツールは実際にアプリケーションを動作させて、その挙動から脆弱性を検出します。それに対して「依存ライブラリのセキュリティチェックツール」はアプリケーションを動作させずに検査します。ツールの動作が全く異なるので、検査内容も大きく違います。

 どちらかといったらWordPressの検査に利用される WPScan に検査内容は近いです。どちらも利用しているプラグイン(ライブラリ)のバージョン情報で検出するのがメインとなっているからです。
それでも検査を実施できる範囲は異なります。
 WPScan はネット越しに公開されているサイト全てに検査することが可能です。対して「依存ライブラリのセキュリティチェックツール」はアプリケーションが依存しているライブラリが記述されているファイル(Gemfile.lock や composer.lock)が検査対象になりますので、それらのファイルを閲覧できる権限者のみが検査を実施できます。それらのファイルに依存関係はほぼ全て記述されているので、依存関係を全て取得するのが難しいネット越しでの検査に比べてより厳密な検査ができます。

 そして近頃、Webアプリケーションなどのソフトウェアに依存しているライブラリに既知の脆弱性が潜んでいないかを検査するために、セキュリティチェックツールを提供・利用するサービスが増えてきている気がしています。

▼ Snyk もセキュリティチェックツールを開発/提供している企業であり資金調達が上手くいっている模様。 jp.techcrunch.com

 まずは、手軽に導入することができるOSSのセキュリティチェックツールを使用してみて、どのような検査結果を得ることができるのかなどを確認してみます。
ついでに検出された脆弱性の情報はどこから取得しているのかなども確認してきます。

続きを読む