キングソフトの「Struts2脆弱性スキャン」に疑問が湧いたので質問してみましたよ。
-
- いいね!69
辻 伸弘 (nobuhiro tsuji)
@ntsuji
これ不用意に使ったら攻撃とみなされませんか?/ キングソフト、Apache Struts2の脆弱性からスマホを守るアプリ、 「Struts2脆弱性スキャン - CM Security」をリリース! http://t.co/KRFMFSuBLH
2014-04-30 19:20:21
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@migimatsu そのようですね。なぜこれが(直接的な意味で)スマホを守るのかはまだ理解できてませんw
2014-04-30 19:30:29
北河拓士🔰
@kitagawa_takuji
@ntsuji これがそのバックエンドみたいなのですが、どうも拡張子を見ているだけっぽいですw https://t.co/xsrTgTt9IP
2014-04-30 21:45:58
北河拓士🔰
@kitagawa_takuji
@ntsuji これがそのバックエンドみたいなのですが、どうも拡張子を見ているだけっぽいですw https://t.co/xsrTgTt9IP
2014-04-30 21:45:58
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
@kitagawa_takuji @ntsuji 実際にそのURLへのアクセスによる判定ではなく入力値そのものに対して /.*\.(do|action)$ などで単にパターンマッチングしているだけということなんでしょうか、かなり残念ですねぇ... 後でアプリの方でも試してみます。
2014-04-30 22:22:59
辻 伸弘 (nobuhiro tsuji)
@ntsuji
キングソフトの「Struts2 脆弱性検出」( https://t.co/jYt1Et1ioe )ですが、存在しないファイルの調査をしてもこんな結果になりました。入力された中に特定の拡張子があるどうかを見ているだけなのでは? https://t.co/4qs8hqjlRN
2014-04-30 22:29:49
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
@ntsuji @kitagawa_takuji ですよね。そもそも "hxxp://is_this_Fake.do" みたいなあり得ないものでも注意出ちゃいましたし「そのURLっぽい文字列にはStrutsの拡張子が含まれる」ということであってそれ以上でも以下でもないと思います。
2014-04-30 22:43:29
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@0x009AD6_810 @kitagawa_takuji Struts利用しているというリスクとまでもいかず、特定の拡張子が含まれる文字列チェッカーといったところでしょうか。
2014-04-30 23:03:52
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@piyokango それぞれの文字列の後方一致で拡張子ですらないっぽいです。 https://t.co/7ZJfAeVaMD
2014-04-30 23:10:16
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
@ntsuji ほんとだー http://t.co/xJJNSHomSl (NXDOMAIN) に 要注意です! 入力されたウェブサイトにStruts2のリスクが発見されました。
2014-04-30 23:38:20
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@ipv6labs たしかに。後方一致のサンプルのような。しかし、これを知らずに調査にこのサイトを使いその判定結果に不安を抱いたり安心したりする人を生んでしまうことはよろしくないと思っています。
2014-05-01 00:35:13
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@0x009AD6_810 @kitagawa_takuji Androidのほうのアプリの通信をキャプチャしてみました。特定のアドレスにポストでデータを送信してそのレスポンスとして結果を受け取る形の挙動のようですね。
2014-05-01 01:11:48
辻 伸弘 (nobuhiro tsuji)
@ntsuji
.@KINGSOFT_PR このサイト(https://t.co/jYt1Et1ioe)ですがどのような検出を行ってますか。存在しないファイル(拡張子.do)に対して実行した結果リスクが発見されたと表示されます。もしかして入力値に特定文字列があるかどうかのみの確認でしょうか。
2014-05-01 11:17:31
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@0x009AD6_810 @kitagawa_takuji キングソフトのStruts2 脆弱性検出ですが昨日と挙動が変わっていますね。
2014-05-01 22:09:44
lumin
@lumin
@ntsuji @0x009AD6_810 @kitagawa_takuji これ、 http://t.co/YlQFicoF1J も危険というよ。さすが正直だよね。
2014-05-01 22:14:50
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@lumin @0x009AD6_810 @kitagawa_takuji え?http://t.co/HEwTbdlYPVで試した結果危険と出ました?
2014-05-01 22:17:28
lumin
@lumin
@ntsuji @0x009AD6_810 @kitagawa_takuji https://t.co/C0WazoH4hJ こんな感じでしたよ。
2014-05-01 22:20:19
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@lumin @0x009AD6_810 @kitagawa_takuji あれれ。今試してみても再現されないです。。。
2014-05-01 22:22:11
北河拓士🔰
@kitagawa_takuji
@ntsuji @lumin @0x009AD6_810 確かに、昨日と挙動が変わっていますね。昨日は、kingsoft.jp が危険と出ました。
2014-05-01 22:24:00
辻 伸弘 (nobuhiro tsuji)
@ntsuji
.@KINGSOFT_PR Struts2 脆弱性検出( https://t.co/jYt1Et1ioe )ですが昨日と現在では挙動(もちろんソースも)に変更があったようですね。こちらはどのような方法で危険、安全の判定を行っているのでしょうか。
2014-05-01 22:26:08
辻 伸弘 (nobuhiro tsuji)
@ntsuji
.@KINGSOFT_PR 昨日、危険と判定されたものが本日何の変更も加えていないにも関わらず安全と判断されるのは少々不可解ですので質問させていただきました。
2014-05-01 22:26:44
キングソフト株式会社【公式】
@KINGSOFT_PR
@ntsuji このたびはご質問いただきありがとうございます。現在、開発側に内容を確認しております。重ねて御礼申し上げます。
2014-05-02 14:18:21