Q&A
個人的にちょっと気になるのは 404 なんですけどね。
これがあるからちょっと怖い。
サービスを知らない人間がやってるとなると、ペネトレーションテストと言い切れない状況になると思います。
お世話になります。
取引先のWEBに不正アクセスについての情報があり、ログをチェックしました。
そのログに社内IPが複数含まれており、不正アクセスと判定されただけなのか、明らかに不正アクセスなのか判断できません。
不正アクセスか否かご判断いただけるようでしたら教えていただけないでしょうか?
まず、判定にはiLogScannerを使いました。
https://www.ipa.go.jp/security/vuln/iLogScanner/
社内IPからのアクセスで不正アクセスと判定されたログの一部です。
SQLインジェクション
"GET /scripts/portfolio_genre.php?id=-67%20union%20select%201,2,0x4f70656e5641532d53514c2d496e6a656374696f6e2d54657374-- HTTP/1.1" 302 229 A905
"GET /portfolio_genre.php?id=-67%20union%20select%201,2,0x4f70656e5641532d53514c2d496e6a656374696f6e2d54657374-- HTTP/1.1" 302 229 A905
"GET /software/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
"GET /cgi-bin/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 404 230 A905
"GET /scripts/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
"GET /software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
クロスサイトスクリプティング
"GET /cgi-bin/page.php?xPage=<script>alert(document.cookie)</script> HTTP/1.1" 404 214 B958
"GET /guestbook/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
"GET /cgi-bin/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 404 215 B958
"GET /scripts/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
"GET /index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
ディレクトリトラバーサル
"GET /evision/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /evision/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /cms/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /cms/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /cgi-bin/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 404 242 C446
"GET /scripts/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /scripts/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
宜しくお願いいたします。
回答4件
0
ベストアンサー
webサイトのシステムが不明なので、正確な判断は無理ですが、一般的なアクセスでは無い文字列が含まれていることは確かです。それがどなたのアクセスで、なにを意図したのか確かめた方がイイくらいには、おかしなアクセスだと思います。
投稿2016/06/28 08:42
退会済みユーザー
総合スコア0
0
不正アクセスかどうかといえば不正アクセスですが、te2jiさんのコメントにあるとおり、ペネトレーションテスト、つまり「不正なアクセスに対して対策がきちんと取れているかどうか、確かめるようなアクセス」だといえます。不正アクセスと判定されただけです。接続元IPがわかっているなら、意図を確認すべきでしょう。
ウチのシステムでも、侵入検知が発報して大騒ぎしたのですが、確認してみたら利用者が勝手にペネトレーションテストした、と発覚したことがあります。
応答として 302 209 や 404 を返しているようなので、このログから観測できる範囲では、情報は流出していないでしょう。ペネトレーションテストも合格していることでしょう。
なお、Zuishinさんが問題だと指摘している <script>alert(document.cookie);</script> については、まったく問題ありません。悪意がある場合はこんな手は使うわけはなく、悪意はないと断定できます。
追記
誤解を生む表現だったので上記訂正します。
誤: まったく問題ありません。
正: 攻撃を受けた側の目線においては、まったく問題ありません。
投稿2016/06/29 06:12
編集2016/07/01 03:20
総合スコア2493
社内の誰も知らない状況で取引先のサイトを勝手にペネトレーションテストするんですか?
取引先のサイトのクッキーを表示して悪意が無いんですか?
もう少し詳しく説明してください。驚きです。
> 社内の誰も知らない状況で取引先のサイトを勝手にペネトレーションテストするんですか?
あまり無いでしょうね。
matobaaさんの環境ではあったようですがw
内容から見て、危険度合いは低いように思います。
攻撃であった場合でも、これらに200を返してないので、「この内容で」攻撃が成功することはありません。
が、勝手にペネトレーションテストするような事は問題なので、意図を確認したほうが良いというのが、matobaa さんと私の回答主旨ですね。
失敗しているから不正アクセスではないということですか?
いいえ。アクセス自体は、不自然ですし、通常ないものだと思います。ただ、不正なアクセスを行い、それによって何かをなそうというよりは、不正が可能であるかの調査をしている可能性が高いと判断しています。
そのため、アクセス元の意図を確認しましょう。ということです。
まあ自社が攻撃されたのなら、この程度笑って見過ごせるでしょう。
「そんな攻撃通るかよ」で済むと思います。
しかし、自社から取引先のサーバーに向けて勝手に攻撃を行って「これは不正アクセスではありません。テストです。失敗したからいいでしょ?」という理屈はさすがにありえません。
攻撃者の意図(理屈、言い訳)はこの際関係ありません。
> しかし、自社から取引先のサーバーに向けて勝手に攻撃を行って「これは不正アクセスではありません。テストです。失敗したからいいでしょ?」という理屈はさすがにありえません。
そうですね。その通りです。なので、意図を確認して、取引先に説明する必要があると思います。matobaa さんと私の回答主旨ですね。
取引先に説明する必要があるのは私もその通りだと思います。
そこは問題ないので繰り返さなくて結構です。
ペネトレーションテストの目的には二つあります。
一つは善意で脆弱性を調べる場合。
もう一つは悪意で侵入の経路を調べる場合。
テストだから侵入してないから善意だというのは明らかな間違いです。
>まったく問題ありません。悪意がある場合はこんな手は使うわけはなく、悪意はないと断定できます。
ここが大間違いです。
matobaa さんの意図と同じかどうか微妙ですが、私の見解として記述します。
<script>alert(document.cookie);</script>
これは、スクリプトが動作するか確認するためのアクセスだと思いますが、その前提で、alert を上げる方法は、調査としては迂遠なやり方と言えます。悪意あるアクセスだとすると、もっと調査結果のわかりやすい方法をとると思われ、このようなスクリプトは選ばないと思います。
全てのアクセスのそういった傾向が見られ、脅威度が低いことから、その個々のアクセスに関してなにをしているか確認することはあまり意味がなく、その根底にある、調査なり攻撃の意図を確認することこそ必要な対応と考えている。といったところですね。
私はプログラムを組み上げてから動かすのではなく、途中で動作確認を行うことがあります。動作確認をしたから完成させる気がないというのは間違いです。動作確認をしたら完成させる気があるのですよ。
alert() を使う方法を迂遠だと思うのは、te2ji さんが、もっと一発で侵入する方法をご存じなのでしょう。不慣れな者はいちいち確認するんです。攻撃のレベルが低いでしょ?攻撃者のレベルが低い証拠です。
攻撃者のレベルが低いということは、こんなものはテストにならないということでもあります。
繰り返しますが、問題がないと言うのは間違いです。
会社の信用問題という大きな問題があります。
問題はないが確認すべきというのがお二方の意見なら、私の意見は問題があるから確認すべきということです。
そしておそらく誤解があると思うのですが、私が alert() を特に問題視したのは、これが危険だからではありません。
よく読んでいただけばわかると思いますが、「自社のパソコンが踏み台になったわけではなく、社員あるいは関係者が攻撃を行った証拠」だからです。
我々も問題はあると書いているので、認識がズレていますね。
また、問題点に関しては、Zuishin さんがターゲットにしている攻撃手法ではなく、アクセスの意図であると、何度も書いています。
これらが一連の攻撃準備だったとして、アクセス元が特定できるのであれば、攻撃手法の解析に意味はありません。
問題なのはなぜやったか?です。こちらは会社の信用問題に直結します。
調査なり攻撃アクセスの意図を確認することこそ必要な対応です。
攻撃手法の分析は、やりたい人が余った時間にでもやればいいんじゃない。程度ですね。
アクセス元が確認できない場合、取引先への報告が非常に面倒なことになりますが、その場合も攻撃手法の解析はあまり役に立たないと思います。
Zuishin さんが、攻撃手法に意味を見出しているのは理解しましたが、今回の件を取引先に報告するならば、
・アクセス元の特定
・アクセス元の接続意図
・その意図に対しての考察
・再発防止策
あたりが記載内容となり、攻撃手法の解析はおまけ程度だと思います。
早急にアクセス元の特定をされることが必須かと。
matobaa さんは問題なしとのことですが、te2ji さんも私と同じ問題ありという意見なのですね?
手法の解析とおっしゃっていますが、どうも話がかみ合っていない気がします。
「踏み台」という言葉の意味はおわかりですか?
もしご存じなければ検索してみてください。
踏み台であれば犯人は外にいる、そうでなければ、犯人は社内にその時いたということです。決して手法の解析ではありません。
Zuishinさんの主張を理解しました。私が勘違いしていたのかもしれません。
私は、質問者はエンジニアとして取引先から見解を求められたのだと想定しました。なので、情報は流出してないですよ問題ないです、ただし不審なので掘り下げてくださいねという結論にしています。
Zuishinさんが想定しているシーンは、質問者はシステムの利用者であって、取引先から、「お前の社内からこんなアクセスがあるぞ」と指摘されているという状況と想定したのだと推察します。質問者の言う社内IPとは「お前の社内」であり、かつ alert() を使っている点からいって踏み台ではなく人間が操作しているといえる、「お前の社内」に犯人がいる可能性が極めて高く信用問題である……ということですね。
そういう前提であれば、もちろん、すみません当社の社員がやらかした可能性が高いです大変申し訳ございません、と取引先に弁明する必要があるというZuishinさんの意見はそのとおりであり、全面的に同意します。
しかし、alertがあることをもって「自社のパソコンが踏み台になったわけではなく、社員あるいは関係者が攻撃を行った証拠」だと言及することは、その区別自体がナンセンスだと考えます。踏み台だったからといって申し開きできるとは思っていません。
なお本筋とは関係ないですが、私は特に悪意もなく「取引先のサイトのクッキーを表示」はよくやります。ブラウザでF12を押すだけですが。
噛み合ってないですね^^;
手法の解析にこだわっていたわけではなく、アクセス元にこだわっていたのですね。そうであれば、今見える情報から、社内の方が不正なアクセスに対して対策がきちんと取れているかどうか、確かめるようなアクセスしたのではないか。という3人共同じ予測をしていると思いますよ。
その上で、matobaa さんと私はアクセス元を特定し、意図を確認したほうが良いですよ。と提案しているだけです。
クッキーはおいしい食べ物です。
誤りや誤解を指摘されて素直に認められないのはみっともないと思っています。質問者の立場を誤解した点はまずかったかなと思います。
te2jiさん、ここをみるとなにかわかるかもしれません。
https://teratail.com/questions/38775
↑のクッキーの説明は完全に誤りですが、なんかまたはじまったようなので、そろそろ私は失礼しようかと。
(あ、編集していただけたようでなにより)
何か知りませんが私に対して含むところがあっての発言だったようですね。
納得しました。
matobaa さんの回答なのに、途中から我が物顔で書き込んでしまいました。大変失礼しました^^;
もう少しで認識も合いそうなので、今しばらくお借りします。
あと、【なお、Zuishinさんが問題だと~】は蛇足過ぎましたねw
ああ、あの時の人ですか。すみません、覚えてなくて。
ここもマイナスになってますが、バグでしょうかね?
私には理由がはっきりわかる気がしますけども。
いや私も失礼しますので。
とにかく問題があることは共通認識となったと思います。
誤りや誤解を指摘されて素直に認められないのはみっともないと思っています。めんどくさいので、もうからまないでほしいです。
誤りや誤解を指摘されて素直に認められないのはみっともないと思っています。めんどくさいので、いつまでも執念深くからまないでほしいです。
ああ、いつぞやのQiita騒動と同じようになってきた……残念だ……
申し訳ないですが、明らかな間違いがあるときは指摘することはやめません。
明らかな間違いがないときに執念深く絡むようなことはしてません。
クッキーの誤りについて、削除していただいてありがとうございました。助かりました。
同じことを他でも繰り返してらっしゃるんですね。
matobaa さん、気が付かなかったのですが、仲間でしたwww
https://teratail.com/questions/39491
途中で気がつけば、もうちょっと書きようがあったかもしれませんorz
0
不正にサーバーに侵入されたってのではなくて、
不正な処理を起こすことを期待してアクセスしてきたということです。
実際の被害があったのかもしれませんよ。DBは大丈夫でしたか?
クロスサイトスクリプティング にでているアドレスに実際にブラウザでアクセスしてみて alertとかでませんか? ディレクトリトラバーサル にあるアドレスにアクセスして、パスワードが表示されたりしてませんか?
投稿2016/06/28 08:58
退会済みユーザー
総合スコア0
ありがとうございます。
確認してみます。
0
見た感じ不正アクセスそのものだと思いますが。
slect とか union が URL に含まれるページは無いんですよね?
投稿2016/06/28 08:40
総合スコア28660
ありがとうございます。
>slect とか union が URL に含まれるページは無いんですよね?
ありません。
このアクセスで私が問題だと思うのは、サーバー側のクッキーを alert() で表示していることです。
もし社内のパソコンが悪意ある第三者から遠隔操作されているのであれば、画面に表示する alert() は使わないと思います。そのときたまたま画面の前に誰かがいたら気づかれてしまいますし、自分にとっては中身を見るのに迂遠な手法を取らなくてはなりませんから。
ですから、犯人は社員もしくは社内のパソコンを一人で使える立場にある人ということになります。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/06/28 08:48
退会済みユーザー
2016/06/28 09:02