OWASP Top 10 - 2017に「A8:安全でないデシリアライゼーション」がありますが、この脆弱性が顕在化
することは少なく、あまり身近ではないかなと感じています。ということで今回は本脆弱性がどういったものなのかを簡単に手元で試すことができるLaravelを用いて説明します。
PHPオブジェクトインジェクション(PHP Object Injection)を試すことになります。
※金欠の為、当サービスは終了いたしました。
前回のブログ更新から1ヶ月以上経ち、たまには更新をしないといけないと思ったので最近私が作成したサイトを簡単に紹介することにします。
その名は『オープンハニーポット』!!
まだ β版 ということで挙動がおかしい部分がありますが、興味のある方は是非さわってみてください。
http://honypot.motikan2010.com/honypot.motikan2010.com
ハニーポットという名が入っていることからもわかる通り、ハニーポットに関係しているサイトです。
このサイトには私が運用している複数のハニーポットのアクセスログが保存されており、誰でもそのログを閲覧することができます。ちなみに今は4台のハニーポットからログを収集しています。
その4台上で動作しているハニーポットは全て同じですが、動作させているクラウドサービスがそれぞれ異なっており、「AWS」「GCP」「Azure」「Alibaba Cloud」を利用しています。
その意図としては、クラウドサービスごとに攻撃の種類が異なるのかを観測したかったというのがあります。(実際は軽く確認した感じ、差異はありませんでした・・・)
「オープンハニーポット」では、それらのハニーポットで収集されたアクセスログの詳細や時間別のアクセス数などを確認することができます。
続きを読む
プロジェクト管理ツールとし有名な Jira Server の脆弱性が見つかりました。
脆弱性を含んでいるバージョンを利用しているかつ、特定の設定を有効にしている場合に、未ログインユーザでも「サーバーサイド・テンプレート・インジェクション(server-side template injection)」攻撃が可能ということで少し調べてみました。
Poc も存在しており、実際にその検証している様子もありますので、Jiraサイトをパブリックに公開している運用している場合には、バージョンの確認・設定の確認をしてみたほうがよいでしょう。
続きを読む
Webサイトの管理画面が推測されることにより、サイトの改ざん等の被害が増えてきているようで、先月(5/9)にEC-CUBEでは下記のような注意喚起がありました。
以下、注意喚起の一部抜粋。
- 管理画⾯の URL が /admin/ など推測されやすい URL になっていないか 管理画⾯の URL を変更せず /admin/ のままで運⽤していた場合、攻撃者が管理画⾯にア クセスしやすい状況になっておりますので、 早急に変更をお願いします。
【重要】サイト改ざんによるクレジットカード流出被害が増加しています。
ここで述べられている推測されやすいURLの代表例として、ツールによって発見されるURLであることがあります。
なので今回は各ツールがどのようなURL(管理画面へのパス)を検索しているのかを調べてみました。
今回確認したツールは以下の6つです。
| admin |
| administrator |
「admin」「administrator」パスはツール全てで検索されていました。
EC-CUBEでは、インストール時に管理画面のパス名を指定することができるようになっていますが、「admin」というパス名は指定できないようになっており「admin」がパスとして利用される危険性の配慮がなされていることが分かります。
実際に下画像のように「admin」を管理画面のパスに指定すると、エラーメッセージが表示されることが確認できます。
NAXSI(Nginx Anti XSS & SQL Injection)はOSSのWAFであり、スター数が3,000を超える人気を誇っており、利用してみたくなったので、インストールしてみました。
ちなみにOSSのWAFとして有名なModSecurityのスター数は約2,800です。(NAXSIすごい...)
CookieのSameSite属性はCSRF対策のために提案されたもので、その属性をCookieに付与するだけでほとんどのサイトの場合はCSRF対策が可能になります。
しかし、SameSite属性の付与が今までのCSRF対策の代わりになり、今まで行ってきたCSRF対策をしなくてよくなるというわけではありません。
CSRF対策の為に提案された属性ですが、サイトの特性によってはCSRFを防ぐことができない場合があります。
今回は、その「防げないCSRF」とはどういったものであるのか、一例をあげます。
そして実際にSameSite属性付与が付与される脆弱なサンプルサイトを使って説明していきます。
Cookieの属性に「Domain」「path」「Max-Age」「Expires」「Secure」「HttpOnly」があるが、 『SameSite』というのも存在していることを知っていたか!? 私は最近まで知らなかった(恥ずかしい)。
2016年から存在しており現在、主要なブラウザではサポートされているらしい。
--- 追記 2020/2/4 ---
2020年2月リリース予定の Chrome 80 からはSameSite属性の値がないCookieはSameSite=Laxが付与されたものとして扱われるとのこと。
SameSite属性を無効にしたい場合は明示的にSameSite=Noneを設定する必要があります。
Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
LaravelのデフォルトではSameSite属性を付与しないようになっているため、SameSite属性を無効にする場合は「none」を明示的に指定する必要があります。
----- ここまで -----
そんな認知度が低そうな属性をLaravelで設定できるのかを確認してみる。
玄人向けのアプリケーションが多い印象です。
| 公式 | Burp Suite Scanner | PortSwigger https://portswigger.net/burp |
診断を実施する上で便利な拡張プラグインが公開されている。独自に作成・公開することも可能です。 PortSwigger · GitHub
GUIアプリケーション
| 公式 | ZAP https://www.zaproxy.org/ |
| GitHub | https://github.com/zaproxy/zaproxy |
Dockerfile-zap-cli https://gist.github.com/Grunny/6ea8d48d711c6ad28064
Windows上のデバッグでよく用いられるプロキシ。 今はMac OS向けもあります。
アドオン(Watcher、X5S)を追加することによって診断を行うことが可能になります。
OWASP Fiddler Addons for Security Testing Project - OWASP
日本の会社が開発しているツールです。
| 公式 | https://www.ubsecure.jp/vex |
| 公式 | Watcher: Web security testing tool and passive vulnerability scanner - CodePlex Archive https://archive.codeplex.com/?p=websecuritytool |
| 公式 | x5s - test encodings and character transformations to find XSS hotspots - CodePlex Archive https://archive.codeplex.com/?p=xss |
今更ながらLDAPインジェクションがどのようなものなのかの検証をやってみました。
LDAPインジェクションは脆弱性としてそこそこ有名であり、名前だけは目にすることがあるが、イマイチ実際に検証を行う気になれない脆弱性でもあると思う。特にLDAPの環境構築は手間になりそうだし。
このままだとLDAPインジェクションを体験しないまま死んでしまってもおかしくないので、DockerでさくっとLDAPインジェクションの検証環境を構築し体験してみるとする。
www.slideshare.net
www.slideshare.net
JAWS DAYSで話せなかった「Security x Serverless」の話
ー
攻撃者視点から考えるAWS EC2セキュリティインシデントとその対応
ー
自動車監視のためのクラウドソリューション(仮)
ー
www.slideshare.net
www.slideshare.net
事例に学ぶ、Splunk×AWSセキュリティモニタリングの具体策(仮)
ー
www.slideshare.net
What you see is what you get 〜 インシデント対応するのに、まだログ分析で消耗してるの?
ー
Infocage SiteShell on AWS
ー
www.slideshare.net
AUTOMOXで俺たちのVulsが殺されるのか
ー
AWSで実践するリスト型アカウントハッキング対策(仮) -
www.slideshare.net
AWS環境におけるフォレンジック(仮)
ー
Deep SecurityとAWS WAF、SNS、Lambdaを使ってうまいこと自動防御する(仮)
ー
セキュリティのあるべき姿とSOCの重要性(仮)
ー
www.slideshare.net
Security-JAWS 第9回レポート #secjaws #secjaws09 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-09-report/
Security-JAWS 第8回レポート #secjaws #secjaws08 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-08-report/
ASCII.jp:ハニーポットから負荷試験の失敗事例まで、Security-JAWS勉強会 (1/3) http://ascii.jp/elem/000/001/594/1594177/
Security-JAWS第7回レポート #secjaws #secjaws07 | Developers.IO https://dev.classmethod.jp/cloud/aws/security-jaws-07-report/
blog/20171113-Security-JAWS-7.md at master · wahho/blog https://github.com/wahho/blog/blob/master/20171113-Security-JAWS-7.md
ASCII.jp:たかがアカウント、されどアカウント、AWSでの運用ベストプラクティスは?
http://ascii.jp/elem/000/001/551/1551875/
ASCII.jp:オンプレとどこが違う? 実例に見るAWSでの不正アクセスの傾向と対策 http://ascii.jp/elem/000/001/549/1549718/
Security-JAWS第6回レポート #secjaws #secjaws06 | Developers.IO
https://dev.classmethod.jp/study_meeting/security-jaws-06-report/
2017/08/24 Security-JAWS 【第6回】参加レポート - やーまんぶろぐ
http://yamano3201.hatenablog.jp/entry/2017/12/26/104439
Security-JAWS第5回レポート #secjaws #secjaws05 | Developers.IO
https://dev.classmethod.jp/cloud/aws/security-jaws-05-report/
Security-JAWS#5レポート | cloudpack.media
https://cloudpack.media/31159
Security-JAWS#5レポート - Qiita
https://qiita.com/fnifni/items/73c9664aff0e639db62e
今回はWebセキュリティのお話です。
とある機会にXSSI(Cross-Site Script Inclusion : クロスサイト・スクリプト・インクルージョン)攻撃というワードが話に出てきて、その攻撃が正直分からず困惑してしまったので、その攻撃について調べてみました。
結論としては「Same-Origin Policy制限外のJSONPなどからは機密情報を外部ドメインから取得できる攻撃」です。
本記事では、脆弱性あるサンプルアプリケーションを使い、実際に攻撃を行ってみて当脆弱性を確認していきます。
続きを読む
証明書のインポート毎に忘却しており、証明書探しの旅に出てしまっているので「THE 備忘録」
