Apache

クロスサイトスクリプティング Apacheアクセスログ

Posted 3月 5 2013 by Teachers  ,

弊社が管理するWebサーバーのApacheアクセスログに以下のようなログが残っていました。

 

1回目

*************

[03/Mar/2013:20:57:21 +0900] “GET /connect.php?receive=yes&mod=login&op=callback&referer=xyz%bf\u0027.replace(/.%2b/,/javascript:alert(511265478)/.source);// HTTP/1.1″ 302 207 “-” “Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)”    B939

*************

 

2回目

*************

[03/Mar/2013:20:57:31 +0900] “GET /connect.php?receive=yes&mod=login&op=callback&referer=xyz\u0027.replace(/.%2b/,/javascript:alert(511265478)/.source);// HTTP/1.1″ 302 207 “-” “Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)”    B939

*************

 

赤字の部分に注目です。

これは「クロスサイトスクリプティング」に分類される攻撃手法で、一般的には今回の例のようにJavascriptが使われることが多いようです。

攻撃が成功すると悪意あるユーザー(クラッカー)にホームページの改ざんや他サイトへの誘導を行われてしまいます。

 

クラッカーはURLにJavascriptを埋め込み、ホームページ作成者の意図しないalertが表示されるようにホームページの改ざんを試みています。

しかし、今回場合は仮にこのリクエストが成功し、alertが表示されたとしてもそれほど問題ではありません。

クラッカーの目論見はこのリクエストでこのサイトに脆弱性が存在するかを確認することのようです。

 

クラッカーはサイトに脆弱性を発見すると、次に本格的な攻撃をはじめることが予想されます。

たとえば、別のサイトにリダイレクトするようなホームページ改ざんです…まさにクロスサイトですね。

 

なお、同一のIPアドレスから同時刻帯に他にもSQLインジェクションやディレクトリトラバーサル攻撃を受けています。

次の機会に紹介できればと思っています。


Apache



  未経験OKの仕事 |  上場企業の仕事 |  高待遇の仕事 |  外資系の仕事 |  社内SEで検索 |  自社サービスで検索





メールアドレス
ご質問・問い合わせ等、ご自由にお書きください。