目次

1.サイトの準備と攻撃方法の確認

2.WAF有効化

まとめ

 

1.サイトの作成と攻撃方法の確認

XSS用のページを準備します。

XSSの脆弱性を利用すると、任意のスクリプトを対象のWebブラウザ上で実行することができます。
改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組むことが可能となります。
以下を実施します。
セッション管理IDを表示します
→クッキー情報が盗みだされると、なりすましの被害をされる可能性が非常に高くなります。
あらかじめ格納しておいたスクリプトをサイト内に仕込んでおき、任意のページに飛ばして、クッキー情報と成功したという画面を表示させます。
→盗んだクッキー情報を悪用して、攻撃者が指定したサーバへ転送し、知らぬ間に情報を入力させて、情報を入手したり、ウィルスをダウンロードさせるといった手法に応用ができます。
また、転送サーバへ送れば、クッキー情報も入手できます。

実験用として、3つの脆弱性があるログインページ(コード)を用意します。

・login.php

・confirm.php

・success.php

 

通常のパラメーターを入力すれば、問題なく画面遷移します。
(例)ここでは、userとしておきます。

しかし、username欄に以下を入力すると、セッションIDが表示されます。

Webサイトがクッキーによってセッション管理されている場合、上記のようにそのままの値を返してしまいます。
この例では、本人のセッションIDが表示されているので、被害が発生することはありませんが、脆弱性がある状態といえます。

次に、以下をusername欄に入力し、実行します。

「Please click here」と表示されました。
このアドレスはサーバ内にあるxss.phpページへ表示させるスクリプトです。セッションIDも引き継いでいます。
アドレス確認すると、、セッション ID がアドレスに含まれてしまっていることが分かります。
PHPSESSID=lq7c73ie39ail27kle0c13ium7

OKクリックすると、ウィルスがダウンロードされる仕組みとなっている・・・ということはありませんが、実際の XSS 攻撃では、OKをクリックさせて、転送サーバにあるウィルスをダウンロードさせるといったことが可能となります。

また、XSSはあらかじめ攻撃者が仕込んでおく格納型といわれる手法もあります。
例えば、下記のスクリプトを仕込んでおき、ログインページの一部を変更した(confirm.php内にあるsuccess.phpではなく、trap.phpに移行するよう変更し、攻撃者が用意した外部サーバへ転送される)と仮定します。

・trap.php

2度ログイン入力画面が表示されりと思います。
URLを見ると、trap.phpとなっていることがわかりますが、いつも通りのログインの場合、URLまで確認する方はほとんどいないと思います。

このような形で、ユーザが知らぬ間に実行してしまった時点で、XSS攻撃は成立します。

 

2.WAF有効化

それでは、WAFの機能を確認します。

Mod Securityを有効化します。SecRuleEngine OffをOnに変更し、Apacheを再起動します。
# vi /etc/httpd/conf.d/mod_security.conf
SecRuleEngine On
# systemctl restart httpd

まずは、通常通りの動作確認をしておきます。
問題なく動作しました。

では、先ほどと同じようにクッキー情報の表示と、xss.phpページへリンクさせてみますと、下記の通り遮断されました。

ログを確認します。

# tail -f /var/log/httpd/modsec_audit.log

==============================================
しかし、想定とは違う結果が出ました。
XSSのルールセットがありますが、SQLインジェクション攻撃とみなされて遮断されたようです。
意図しない方法で処理されてしまいましたが、こちらの処理を確認します。
設定ファイルは「modsecurity_crs_41_sql_injection_attacks.conf」で、その中に記載されている[line “77”] [id “950901”] というルールで処理されました。
このルールは以下のように定義されていました。(※ルールの基本書式 SecRule VARIABLES OPERATOR [ACTIONS])
SecRule
VARIABLES=チェックを実行する変数:
REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/*

VARIABLES
変数 説明
REQUEST_COOKIES リクエストクッキーの値
!REQUEST_COOKIES:/__utm/ リクエストクッキーの値の正規表現
REQUEST_COOKIES_NAMES リクエストクッキー名
ARGS_NAMES リクエストパラメータ名
ARGS POSTペイロードを含むパラメータ、静的パラメータ、または正規表現
XML:/* XML のすべてのエンティティ

 

OPERATOR=フィルタリングルール:
“(?i:([\s’\”´’‘\(\)]*?)([\d\w]++)([\s'\"´’‘\(\)]*?)(?:(?:=|<=>|r?like|sounds\s+like|regexp)([\s’\”´’‘\(\)]*?)\2|(?:!=|<=|>=|<>|<|>|\^|is\s+not|not\s+like|not\s+regexp)([\s'\"´’‘\(\)]*?)(?!\2)([\d\w]+)))”

[ACTIONS]=ルールにマッチした場合のアクションを指示:
“phase:2,rev:’2′,ver:’OWASP_CRS/2.2.6′,maturity:’9′,accuracy:’8′,capture,multiMatch,t:none,t:urlDecodeUni,t:replaceComments,ctl:auditLogParts=+E,block,msg:’SQL Injection Attack: SQL Tautology Detected.’,id:’950901′,logdata:’Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}’,severity:’2′,tag:’OWASP_CRS/WEB_ATTACK/SQL_INJECTION’,tag:’WASCTC/WASC-19′,tag:’OWASP_TOP_10/A1′,tag:’OWASP_AppSensor/CIE1′,tag:’PCI/6.5.2′,setvar:’tx.msg=%{rule.msg}’,setvar:tx.sql_injection_score=+%{tx.critical_anomaly_score},setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:tx.%{rule.id}-OWASP_CRS/WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}”

ACTIONS
変数 説明
phase:2 リクエスト・ボディを処理
maturity テスト量の相対的な成熟度
accuracy ルール判定の精度
severity ルールに当てはまる重要度

 

上記を踏まえて、この処理の流れを確認します。
①「script>window」の文字列をフィルタリング
VARIABLESではARGS_NAMEとして検知
ACTIONSとしてはphase 2で処理し、403で拒否

今回は、mod security(WAF)がどのように機能するか、XSS攻撃を通して動作検証しました。

次回以降は、他OSへのインストール方法、ルールセットの確認、偽陽性判定があった場合の除外方法、独自ルールの作成、などを順次検証していきます。

 

まとめ

・ModSecurity はオープンソースで無償で使用することができる。
・公式ホームページやgithubに、マニュアルがあるが、日本語版はなく、すべて英語で記載されており、ボリュームも比較的多い
・非常に有名な製品のため、他サイトでもブログ形式などで紹介しており、参考になる情報が多数ある

WAFは導入して完結する製品ではなく、導入していきなりしようするのではなく、仕様期間を設け、Detection Onlyでログを確認し、運用していく中で適正なルールを探すことが重要となります。
Webアプリケーションの需要は今後も高く、重要な対策であることは間違いありません。
すべての機能を使いこなせるようになるまでには、非常に時間がかかりますし、慣れや経験が必要です。
しかしながら、根本的な対策ではないため、あくまで弱点を補てんするものとして、導入することをお勧めします。

参考:
Mod Security Trustwave SpiderLabs
Mod Security Reference Manual
独立行政法人 情報処理推進機構 Web Application Firewall 読本
マスタリングTCP/IP情報セキュリティ編