まったり技術ブログ

主にWebエンジニア向けのセキュリティブログ。たまに開発も

PHP-FPM RCE(CVE-2019-11043)の攻撃をAWS WAFでブロック

  • はじめに
  • AWS WAFの設定
    • 文字列マッチの条件を作成
    • ルールを作成
    • ACLにルールを追加
  • 攻撃がブロックされることを確認
  • 参考
  • 更新履歴

はじめに

 先日、PHP-FPMにRCEの脆弱性(CVE-2019-11043)があることが公表されました。

 脆弱性の詳細について本記事で説明しません。脆弱性を含んでいるバーションや攻撃が可能となる条件等は下のリンクの記事を参照して下さい。

 本記事では、この脆弱性に対しての攻撃をブロックするAWS WAFのルールの作成方法を紹介します。
「PHPのアップデート」や「Nginxの設定変更」で対応できますが、それが行えない環境下での対応手段の1つだと思っています。
ブロックルールは単純なので、AWS WAF以外の製品にも適用できるとも考えています。

jp.tenable.com

続きを読む

Laravelで学ぶ「安全でないデシリアライゼーション」

f:id:motikan2010:20191105225943p:plain

  • はじめに
  • 環境
  • 事前知識
    • 1つのPHPファイルでやってみる
    • なぜOSコマンドが実行されたのか
    • なにが問題なのか
  • Laravel でやってみる
    • 修正内容
    • 脆弱性の確認
    • OSコマンド呼び出し部分の確認
      • Illuminate/Broadcasting/PendingBroadcast クラス
      • Faker/Generator クラス
  • PHPGGC(PHP Generic Gadget Chains)
    • PoCを出力する
  • 対策
    • unserialize関数に渡す値はバリデーションを行う
    • allowed_classesオプションの付与(※非推奨な対策)
  • まとめ
  • 更新履歴

はじめに

 OWASP Top 10 - 2017に「A8:安全でないデシリアライゼーション」がありますが、この脆弱性が顕在化 することは少なく、あまり身近ではないかなと感じています。ということで今回は本脆弱性がどういったものなのかを簡単に手元で試すことができるLaravelを用いて説明します。
 PHPオブジェクトインジェクションを試すことになります。

続きを読む

【セキュリティ】motikan2010作サイト『オープンハニーポット』とは

※金欠の為、サービスは終了いたしました。


f:id:motikan2010:20191010000552p:plain:w400
  • はじめに
  • どのようなサイト?
  • 各画面の説明
    • トップ
    • リクエスト一覧
    • リクエスト詳細
    • 時間別アクセス数
    • 日別アクセス数
    • ログイン画面
  • 今後
  • 参考
  • 更新履歴

はじめに

 前回のブログ更新から1ヶ月以上経ち、たまには更新をしないといけないと思ったので最近私が作成したサイトを簡単に紹介することにします。
 その名は『オープンハニーポット』!!
 まだ β版 ということで挙動がおかしい部分がありますが、興味のある方は是非さわってみてください。

http://honypot.motikan2010.com/honypot.motikan2010.com

どのようなサイト?

ハニーポットという名が入っていることからもわかる通り、ハニーポットに関係しているサイトです。
 このサイトには私が運用している複数のハニーポットのアクセスログが保存されており、誰でもそのログを閲覧することができます。ちなみに今は4台のハニーポットからログを収集しています。

 その4台上で動作しているハニーポットは全て同じですが、動作させているクラウドサービスがそれぞれ異なっており、「AWS」「GCP」「Azure」「Alibaba Cloud」を利用しています。
 その意図としては、クラウドサービスごとに攻撃の種類が異なるのかを観測したかったというのがあります。(実際は軽く確認した感じ、差異はありませんでした・・・)

 「オープンハニーポット」では、それらのハニーポットで収集されたアクセスログの詳細や時間別のアクセス数などを確認することができます。

続きを読む

OWASP Security Shepherdで入門するWebセキュリティ

f:id:motikan2010:20190824233013p:plain

  • はじめに
    • 公式サイト
  • DVWA(Damn Vulnerable Web Application)との違い
  • 環境構築
  • 試しに解いてみる
    • 問題 1 - 入力フォームが無い状態でのリクエスト改変
    • 問題 2 - JavaScript側のバリデーションの回避
  • AWS EC2で動作させる方法
  • まとめ

はじめに

 「OWASP Security Shepherd」はWebセキュリティを学ぶことができるアプリケーションです。
Webフレームワークを用いた場合にでも発生する可能性が高い脆弱性(リクエストパラメータの改ざん等)が取り上げられており、そのような脆弱性に対して実際に攻撃する経験をすることができます。
 Webフレームワークを用いての開発が主流となっている昨今でも非常に有意義な学習用ツールだと思っています。普段開発で用いらないローカルプロキシを使い始めるきっかけにもよいかと。

 使い方の流れとしては「ログイン → 問題を解く → スコアに反映」といった感じです。
構築も簡単であり、競技形式で学習ができるのが素晴らしい点だと思っています。
f:id:motikan2010:20190825000646p:plain

公式サイト

www.owasp.org

続きを読む

CVE-2019-11581 - 「Atlassian JIRA サーバーサイド・テンプレート・インジェクション」について調べてみた

f:id:motikan2010:20190728232522j:plain

 プロジェクト管理ツールとし有名なJira Serverの脆弱性が見つかりました。
脆弱性を含んでいるバージョンを利用しているかつ、特定の設定を有効にしている場合に、未ログインユーザでも「サーバーサイド・テンプレート・インジェクション(server-side template injection)」攻撃が可能ということで少し調べてみました。
 Pocも存在しており、実際にその検証している様子もありますので、Jiraサイトをパブリックに公開している運用している場合には、バージョンの確認・設定の確認を1度してみた方が良いでしょう。

  • 概要
    • 脆弱性についてより詳しく
  • 検証情報(キャプチャ画像有り)
  • PoC(検証コード)
  • 検証
    • 検証パッケージ(Jira Server 7.13.4)
    • Jira Server インストール手順(AWS)
  • 攻撃可能な設定
  • 対応
  • まとめ
  • 追記
  • 更新履歴
続きを読む