4月 22

TRACEメソッドって危ないのでしょうかの自分メモ

時々、Twitterなんかでも話題に上るWebサーバにおいて
TRACE/TRACK(以下はTRACEと表現をまとめます)メソッドが
有効であることに対するセキュリティ診断での指摘の程度について考えました。

きっかけはGSX社からリリースされていた「TRACEメソッドの現状」というもの。
よくまとまっていたので自分でも整理するためにメモ。

クロスサイトトレーシング(以下、XST)はもはや説明不要かもしれませんが
簡単に説明すると、WebサーバでTRACEメソッドが有効になっている場合に
HTTPヘッダに含まれている情報も盗まれてしまうといったものです。
この盗み出されてしまうかもしれない情報の中で例示される代表格は
Basic認証(IDとパスワードをBase64エンコードした文字列)ですね。

脆弱性診断(ツール、ペネトレーション問わず)ではWebサーバ上で
TRACEメソッドが許可されている
という条件で指摘を行うことが殆どです。

そして、多くの場合「中」程度の危険性として報告されているようです。
(報告される危険度に関する基準は各社、各ツールで温度差はあるかもしれませんが
ボクの勤めている会社の場合は過去の連載記事に書かせていただいているのでこちらを参考にしてください。)

しかし、XSTの脆弱性を利用して、情報を盗み出すには複数の条件があります。

条件は以下の通り。(XSTを利用してBasic認証情報を窃取する場合)

①ウェブアプリケーションまたはWebサーバでXSSが実行可能
②WebサーバでTRACEメソッドが許可されている。
③サイト上のどこかでBasic認証が用いられている
④攻撃されるユーザのブラウザがXMLHttpRequestによる
 TRACEメソッド実行が許可・対応されているブラウザを使用している。

この④についてGSX社のレポートに書かれていたことををまとめると
各主要ブラウザのTRACEメソッドへの対応状況は下記の通りになります。

・InternetExploer: Service Pack3(2008年4月21日リリース)以降は非対応
・FireFox: バージョン1.5(2005年11月29日リリース)以降は非対応
・Chrome: 正式リリース版(2008年12月12日リリース)以降は非対応
・Safari: Windows正式版(2008年3月18日リリース)以降は非対応
・Opera: バージョン8.0(2005年4月18日リリース)以降は非対応

これを見ていただけるとお分かりいただけるかと思いますが
現在よく使われているであろう殆どのブラウザにおいて
このXSTを利用した攻撃を成立させることができないということになります。
もう少し言うと
2011年4月22日現在
サポートが行われている主要ブラウザにTRACEメソッドを実行させることのできるものはありません。

ただし、ココ(The Internet Explorer 6 Countdown)を見るとInternet Explore6はいまだに利用率が1割程度となっています。

その中には極僅かながらService Pack3以前のものが含まれていると考えらますが
この4つの条件を満たし、攻撃を成立させることは殆どないだろうと判断できると思います。
少なくとも「中」程度の危険性はないと言えると思います。

ちなみに、ボクの勤めている会社でのペネトレーションテストで
TRACEメソッドが許可されている場合の指摘については
今年度から危険度を「低」だったものを「他」(インフォメーションレベル)としました。

Category: memo | TRACEメソッドって危ないのでしょうかの自分メモ はコメントを受け付けていません
6月 10

PTKインストールメモ

SleuthKitのフロントエンドである「PTK」のインストールメモです。
同じフロントエンドとしては「Autopsy」が有名です。
インストール方法も「Autopsy」のほうが相当楽なのですが
操作性や見栄え、メモリイメージへの対応などを考えると
今後は、「PTK」が主流になっていくのかなぁ。
ということもあり、メモに残すことにしました。

インストール環境は、Ubuntu 9.10です。PTKは 1.0.5 です。
Continue reading

Category: forensic, memo | PTKインストールメモ はコメントを受け付けていません
6月 1

Wireshark SMB file extraction plug-inをいれてみた。

TaddongというところからWiresharkのplug-inがリリースされていました。
blogのエントリを斜め読みしたところ、SMB通信をキャプチャすると流れたファイルを補足して表示し
保存までできるような感じです。

とまぁ、いつものごとくしっかりドキュメントも読まずに
とりあえず動かしみよう。ということで手元のUbuntu9.10に入れてみました。
このplug-inはソースにパッチを当てることで組み込むことができます。
ということで
Continue reading

Category: memo, packet, tool | Wireshark SMB file extraction plug-inをいれてみた。 はコメントを受け付けていません
2月 14

John The Ripper 1.7.3.4 インストールメモ

徐々にバージョンアップが繰り返されることで手元のものとバージョンが離されていることが気になっていた「John The Ripper」。
作りかけの検査用VMもあり、折角なので最新版のインストールをしました。

そのときのメモです。

環境は、Ubuntu 9.10です。
Continue reading

Category: memo | John The Ripper 1.7.3.4 インストールメモ はコメントを受け付けていません
1月 29

8080(Gumblar)はFFFTPも狙うのだそうです。

仕事始めから間も無くして世間を騒がせている。そんな、Gumblar(便宜上こう呼びます)。
情報が出尽くしてきた感もあったのですが
ここにきてFFFTPは危ないよーという話題がでてきているようです。
危ないと言われている理由は
「暗号化されたパスワードがシステム内に保存されてしまっている。」
ということだそうです。

日本中が、少しずつ出てくる情報に振り回されている感が満載なので
ボクも振り回されてみることにしました。

というわけで「FFFTP」をインストールしてどのようにパスワードが保存されているのか。
どうすればシステム内から消えるのかという確認をしてみました。
# ボクの自宅の環境下で手前味噌な検証なので
# みなさんの環境でも同じかどうかの確証はないです。すいません。
Continue reading

Category: malware, memo | 8080(Gumblar)はFFFTPも狙うのだそうです。 はコメントを受け付けていません
10月 7

Metasploit インストールメモ

FreeなExploit Frameworkの代表格[Metasploit]のインストールメモです。
# 公式サイトのUbuntu/Kubuntu/Debian Linux向けドキュメントと同じなのですがメモとして残しておきます。
以前は、依存関係のあるものを手動で入れていましたが[apt-get]により飛躍的にインストールが楽になったと思います。
# Snortのメモでも同じようなことを書いたかもしれませんが。

インストールした環境は手元のUbuntu9.04です。apt-get install ruby libruby rdoc
apt-get install libyaml-ruby
apt-get install libzlib-ruby
apt-get install libopenssl-ruby
apt-get install libdl-ruby
apt-get install libreadline-ruby
apt-get install libiconv-ruby
apt-get install rubygems*これで使えるようになるのですがGUIも必要な場合は下記も実行します。apt-get install libgtk2-ruby libglade2-rubyこれで[Metasploit]が動作する環境は整いました。
あとは、下記のように[Subversion]を使って最新版を入手するだけです。svn co http://metasploit.com/svn/framework3/trunk/ framework3これで実行したときのカレントディレクトリに「framework3」というディレクトリが作成され、その中に[Metasploit]一式がダウンロードされます。アップデートの際も同じように「Subversion」を実行するだけです。

Category: memo | Metasploit インストールメモ はコメントを受け付けていません
9月 27

Win32dd & Win64dd v1.3.20090909 (RC2) beta メモ

Windowsのメモリダンプを取得するツール[Win32dd & Win64dd v1.3.20090909 (RC2) beta]のオプションメモです。
以前に、win32dd v1.2.2.20090608 オプションメモを書いたのですが今回のバージョンアップで

・ネットワークに対応
・64bitサポート
・速度向上
・ハッシュサポート
・マッピングメソッドの追加
・BSOD、ハイバネーション対応
・Windbg用にMicrosoftクラッシュダンプ対応

といった大きな変更によって、オプションも追加され、記述方法も変更になったため新たにメモを作成しました。
いつも通りボクの感覚的翻訳になりますのでその点はご容赦くださいね。

公式サイトはこちら
Continue reading

Category: forensic, memo | Win32dd & Win64dd v1.3.20090909 (RC2) beta メモ はコメントを受け付けていません
8月 25

Amap オプションメモ

今更ながらですが、オープンポートやポートなどの応答からアプリケーションマッピングを
行なうツールである「Amap」のオプションメモを作ってみました。
# 文章中にでてくるトリガー(trigger)というのは送信するパケット情報のことをそう呼んでいるのだと思います。

公式サイトはこちらContinue reading

Category: memo, tool | Amap オプションメモ はコメントを受け付けていません