まったり技術ブログ

Technology is power.

TLS1.2のみ許可しているWebDAVサーバをマウントできない

 最近、セキュリティ強化の為にTLS1.1以下の接続を不可にするようなサービスが増えてきている。
 勝手にTLS1.2で接続されるだろうとWevDAVクライアントを放置していたが、接続できないという事象が発生した。

検証用WebDAVサーバ

GitHub - motikan2010/WebDAV-Apache-Docker at 20181123

認証情報  :webdav/pass123
ディレクトリ:/wevdav

エラー発生

 TLS1.2のみを許可しているWebDAVサーバをマウントしようとしたら以下のエラーが発生した。

$ sudo mount -t davfs https://127.0.0.1/webdav /media/127.0.0.1
/sbin/mount.davfs: Mounting failed.
SSL handshake failed: SSL alert received: Error in protocol version

原因

 gnutlsパッケージが古いらしい。

GnuTLS - Wikipedia

現在のバージョン確認
$ sudo yum list installed | grep gnutls
gnutls.x86_64                        2.8.5-4.el6_2.2               installed

解決策

 gnutlsパッケージをアップデートすればTLS1.2に対応される。

$ sudo yum -y update gnutls
アップデート後のバージョン
$ sudo yum list installed | grep gnutls
gnutls.x86_64                        2.12.23-21.18.amzn1           @amzn-main
動作確認

検証として利用しているWevDAVサーバの証明書は適当なものを使っているので、警告が出ているが問題なくマウントができていることが確認できる。

$ sudo mount -t davfs https://127.0.0.1/webdav /media/127.0.0.1
/sbin/mount.davfs: the server certificate does not match the server name
/sbin/mount.davfs: the server certificate is not trusted
  issuer:      XX, XX, XX, XX
  subject:     XX, XX, XX, XX
  identity:    XX
  fingerprint: 9b:dc:c1:34:b5:3c:68:10:c7:c5:6d:8f:fa:25:7a:51:46:70:22:ff
You only should accept this certificate, if you can
verify the fingerprint! The server might be faked
or there might be a man-in-the-middle-attack.
Accept certificate for this session? [y,N] y
/sbin/mount.davfs: Warning: can't write entry into mtab, but will mount the file system anyway

# マウントができている
$ df | grep webdav
https://127.0.0.1/webdav  26666664 13333332  13333332  50% /media/127.0.0.1

【随時更新】Webセキュリティ診断ツールのまとめ

f:id:motikan2010:20181020180235j:plain

  • GUIアプリケーション型
    • Burp Suite
    • OWASP ZAP
      • zap-cli
    • Fiddler
      • Watcher
      • X5S
  • コンソールアプリケーション型
    • w3af
    • Arachni
    • Scan My Server
    • Sucuri
      • 診断結果
    • Web Inspector - Free Website Malware Scanner
      • 診断結果
    • WhatWeb
    • Skipfish
    • Nikto
    • Vega
    • Grabber
    • Wapiti
    • WebScarab
    • Ratproxy
    • SQLMap
    • Wfuzz
    • Grendel-Scan
    • WAScan
    • Paros
  • SaaS
    • VAddy
    • Walti
      • 特徴
      • 診断種別
      • 「Web Server」のスキャン結果
      • 料金
    • Acunetix WVS
    • Qualys - Web Application Scanning
    • UpGuard - Cloud Scanner
      • 診断結果
    • Tinfoil Security
      • 診断結果
        • 診断結果トップ
        • 脆弱性一覧
        • 脆弱性詳細
  • 参考

GUIアプリケーション型

Burp Suite

公式 Burp Suite Scanner | PortSwigger
https://portswigger.net/burp
  • 診断を実施する上で便利な拡張プラグインが公開されている。独自に作成・公開することも可能です。 PortSwigger Web Security · GitHub

  • GUIアプリケーション

  • シナリオ型の設定可能

OWASP ZAP

公式 OWASP Zed Attack Proxy Project - OWASP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
GitHub https://github.com/zaproxy/zaproxy
  • GUIアプリケーション
  • スパイダー型(簡易スキャン)

    zap-cli

  • Cookieの設定はコンテキストを読み込ませる必要があり難しそう

Dockerfile-zap-cli https://gist.github.com/Grunny/6ea8d48d711c6ad28064

Fiddler

Windows上のデバッグでよく用いられるプロキシ。 今はMac OS向けもあります。
アドオン(Watcher、X5S)を追加することによって診断を行うことが可能になります。

OWASP Fiddler Addons for Security Testing Project - OWASP

Watcher

公式 Watcher: Web security testing tool and passive vulnerability scanner - CodePlex Archive
https://archive.codeplex.com/?p=websecuritytool
  • パッシブスキャン

X5S

公式 x5s - test encodings and character transformations to find XSS hotspots - CodePlex Archive
https://archive.codeplex.com/?p=xss
  • アクティブスキャン
続きを読む

LDAPインジェクションをしたかった話

f:id:motikan2010:20181005002942p:plain

今更ながらLDAPインジェクションがどのようなものなのかの検証をやってみました。

 LDAPインジェクションは脆弱性としてそこそこ有名であり、名前だけは目にすることがあるが、イマイチ実際に検証を行う気になれない脆弱性でもあると思う。特にLDAPの環境構築は手間になりそうだし。
 このままだとLDAPインジェクションを体験しないまま死んでしまってもおかしくないので、DockerでささっとLDAPインジェクションを行える環境を作ってみて、検証してみるとする。

  • 検証環境
    • ホスト
    • コンテナ
  • 構築
    • OpenLDAP
    • LDAPクライアントアプリケーション
      • 1. アプリケーションの用意
      • 2. コンテナの準備
      • 3. コンテナの実行
  • 動作確認
    • OpenLDAPの動作確認
    • 予想外の事態発生
  • 脆弱性の検証
    • 正常系の動作確認
    • 脆弱性の確認
  • ダメな対策
  • 対策
  • まとめ
  • 参考

検証環境

ホスト

  • Docker 18.06.1

コンテナ

  • OpenLDAP 2.4.44
  • PHP 7.0 (php-ldap)
続きを読む

【AWS】ECSで構築した環境でオートスケーリング

f:id:motikan2010:20180909111752p:plain

 「Docker(コンテナ) = 開発環境の構築に便利」という認識で止まっていましたが、最近では本番環境での利用のノウハウがネット上でも溜まりつつありますので、実際にどのようにして本番のコンテナ環境の構築・運用を実現しているのかを調べてみました。
 独自のコンテナツールを利用している企業(Netflix等)もありましたが、AWS上ではAmazon ECSというサービスが人気だそうなので、実際にさわってみました。(東京リージョンにはまだないですが、KubernetesをうんぬんするAmazon EKSもありだとか...)

 さわってみた感じ、何も考えなくでも複数のコンテナインスタンスで運用している場合にブルーグリーンデプロイメント(サービスを停止せずにデプロイ)が可能というのは非常にうれしいです。シェルで、ターゲットグループから外して、デプロイ後にターゲットグループに戻す、ということを書かずに済むので...。

 この記事では、環境の構築までを書き、オートスケーリングの検証・デプロイ時の挙動の確認は次の記事で書いていきます。

今回やりたいことのイメージ

f:id:motikan2010:20180909094103g:plain

続きを読む

【AWS】Security-JAWSの資料まとめ【第5~9回】

講演資料・スライド

第9回

◆ 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース

www.slideshare.net

◆ Security JAWS 【第9回】勉強会 WAFシグネチャとログとAI

www.slideshare.net

JAWS DAYSで話せなかった「Security x Serverless」の話

攻撃者視点から考えるAWS EC2セキュリティインシデントとその対応

自動車監視のためのクラウドソリューション(仮)

第8回

◆ # Security JAWS Amazon GuardDuty 20180223

www.slideshare.net

◆ 踏み台環境におけるAmazon Maice活用の提案 #secjaws #secjaws08 - Speaker Deck

speakerdeck.com

◆ VMware Cloud on AWS のご紹介 -セキュリティ風味-

www.slideshare.net

事例に学ぶ、Splunk×AWSセキュリティモニタリングの具体策(仮)

第7回

◆ AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?

www.slideshare.net

What you see is what you get 〜 インシデント対応するのに、まだログ分析で消耗してるの?

Infocage SiteShell on AWS

◆ Auth0でAWSの認証認可を強化

www.slideshare.net

◆ 失敗事例で学ぶ負荷試験

www.slideshare.net

AUTOMOXで俺たちのVulsが殺されるのか

第6回

◆ ざっくりわかるAmazon Macie - Speaker Deck

speakerdeck.com

◆ Security JAWS #6 - Speaker Deck

speakerdeck.com

AWSで実践するリスト型アカウントハッキング対策(仮) -

◆ DevSecOps in Multi Account

www.slideshare.net

AWS環境におけるフォレンジック(仮)

第5回

Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する(仮)

セキュリティのあるべき姿とSOCの重要性(仮)

◆ 2017_0522 security-jaws_no5_Kawano_web_up

www.slideshare.net

◆ AWS使って社内CTFやってみたよ - とある診断員の備忘録

tigerszk.hatenablog.com

参加レポート

第9回

Security-JAWS 第9回レポート #secjaws #secjaws09 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-09-report/

第8回

Security-JAWS 第8回レポート #secjaws #secjaws08 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-08-report/

第7回

ASCII.jp:ハニーポットから負荷試験の失敗事例まで、Security-JAWS勉強会 (1/3) http://ascii.jp/elem/000/001/594/1594177/

Security-JAWS第7回レポート #secjaws #secjaws07 | Developers.IO https://dev.classmethod.jp/cloud/aws/security-jaws-07-report/

blog/20171113-Security-JAWS-7.md at master · wahho/blog https://github.com/wahho/blog/blob/master/20171113-Security-JAWS-7.md

第6回

ASCII.jp:たかがアカウント、されどアカウント、AWSでの運用ベストプラクティスは?
http://ascii.jp/elem/000/001/551/1551875/

ASCII.jp:オンプレとどこが違う? 実例に見るAWSでの不正アクセスの傾向と対策 http://ascii.jp/elem/000/001/549/1549718/

Security-JAWS第6回レポート #secjaws #secjaws06 | Developers.IO
https://dev.classmethod.jp/study_meeting/security-jaws-06-report/

2017/08/24 Security-JAWS 【第6回】参加レポート - やーまんぶろぐ
http://yamano3201.hatenablog.jp/entry/2017/12/26/104439

第5回

Security-JAWS第5回レポート #secjaws #secjaws05 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-05-report/

Security-JAWS#5レポート | cloudpack.media
https://cloudpack.media/31159

Security-JAWS#5レポート - Qiita
https://qiita.com/fnifni/items/73c9664aff0e639db62e