JP4619867B2 - サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム - Google Patents
サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム Download PDFInfo
- Publication number
- JP4619867B2 JP4619867B2 JP2005161166A JP2005161166A JP4619867B2 JP 4619867 B2 JP4619867 B2 JP 4619867B2 JP 2005161166 A JP2005161166 A JP 2005161166A JP 2005161166 A JP2005161166 A JP 2005161166A JP 4619867 B2 JP4619867 B2 JP 4619867B2
- Authority
- JP
- Japan
- Prior art keywords
- response
- request
- tag
- server
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明はWebアプリケーションの脆弱性診断に係るものである。また、Webアプリケーションへの攻撃検知に係るものでもある。
まず初めに、HTTP(Hyper Text Transfer Protocol)上でのWebアプリケーションとの通信について説明する。
Webアプリケーションのユーザは、Webアプリケーションが送信してきたHTML(Hyper Text Markup Language)ページをブラウザ上に表示し、そのページ内に含まれているフォームやリンクを操作することで、Webアプリケーションとの対話を行う。
ユーザがブラウザ上で行った操作をもとに、ブラウザは、HTTPリクエストメッセージを生成し、Webアプリケーションに送信する。
Webアプリケーションは、HTTPリクエストに含まれているユーザからの入力データを解析し、入力に応じたHTMLページをHTTPレスポンスメッセージに含めてブラウザに送り返す。
ユーザが、ブラウザに表示されたフォーム上に入力した値は、HTTPリクエストの
(1)URL(Universal Resource Locator)のquery部分あるいは、
(2)リクエストのボディ部
に格納されて送信される。
各値は、WebアプリケーションがHTMLを通じて指定したデータ名と対応付けられて送信される。HTTPリクエストで送信されるデータ名とデータの一対を、以降「フォームパラメータ」と呼ぶことにする。上記用語を用いれば、「ユーザがフォーム等を通じて入力したデータは、HTTPリクエスト上の複数のフォームパラメータとなってWebアプリケーションに送信される」と表現できる。
(1)URL(Universal Resource Locator)のquery部分あるいは、
(2)リクエストのボディ部
に格納されて送信される。
各値は、WebアプリケーションがHTMLを通じて指定したデータ名と対応付けられて送信される。HTTPリクエストで送信されるデータ名とデータの一対を、以降「フォームパラメータ」と呼ぶことにする。上記用語を用いれば、「ユーザがフォーム等を通じて入力したデータは、HTTPリクエスト上の複数のフォームパラメータとなってWebアプリケーションに送信される」と表現できる。
さらに、HTTPはステートレスなプロトコルであるため、Webアプリケーションは各利用者の状態を管理するために、クッキー(Cookie)と呼ばれる情報をブラウザに送る場合がある。
クッキーを受け取ったブラウザは、次にHTTPリクエストを送信するときに、そのクッキー情報も一緒に送信することで、Webアプリケーションに自分の現在の状態を通知することができる。クッキーも、前述したフォームパラメータ同様、複数のデータ名とデータの対で構成されているため、クッキーを構成する各データ名、データの対を「クッキーパラメータ」と呼ぶことにする。
以上を踏まえた上で、従来のWebアプリケーション診断技術について説明する。図11は米国特許6584569に代表される一般的なWebアプリケーション診断装置の構成を表す図である。図にあるとおり、従来のWebアプリケーション診断装置100は、装置操作手段101、検査制御手段102、正常HTTPリクエスト生成手段103、パラメータ改ざん手段104、HTTPリクエスト送信手段105、HTTPレスポンス受信手段106、キーワード検索手段107で構成されている。Webアプリケーション診断装置100は、ネットワーク108を介して診断対象Webサーバ109に接続されている。
次に、従来のWebアプリケーション診断装置100の動作について説明する。まずはじめに、診断実施者(検査実施者)は、装置操作手段101を介して診断の実行を装置に指示する。それを受けて検査制御手段102は、Webアプリケーションに通常送信されるようなHTTPリクエストを正常HTTPリクエスト生成手段103を利用して生成する。
次に、生成されたHTTPリクエストのパラメータを、パラメータ改ざん手段104を用いて診断用の検査文字列に置き換え、HTTPリクエスト送信手段105を通じて診断対象Webサーバ109に送信する。
Webサーバ109上で稼動するWebアプリケーションは、前述した改変されたHTTPリクエストを受信し、その入力に対するHTTPレスポンスを生成し、診断装置100に送り返す。送り返されたHTTPレスポンスはHTTPレスポンス受信手段106によって受信され、レスポンスが特定の文字列を含んでいるかどうかをキーワード検索手段107によってチェックされる。
キーワード検索手段107によってチェックされるキーワードは、「error」、「sorry」、「not found」といった、Webアプリケーション内でエラーを検出したことを示す文字列である。もし、これらのキーワードがレスポンスの中に含まれていた場合には、Webアプリケーションは、正しく入力の改ざんを検出できたとみなし、脆弱性は無しと判断する。
万一これらのキーワードが見つからなかった場合には、パラメータの改ざんをWebアプリケーションは検知できなかったものとみなし、脆弱性有りとして、装置操作手段101を通じて診断実施者に通知する。
米国特許6584569
以上の様に、従来のWebアプリケーション診断装置では、レスポンスの中にあらかじめ定義されたキーワードが含まれているかどうかで脆弱性をチェックしている。このため、これらのキーワードを含まないページが返ってきた場合、常に脆弱性有りとみなしてしまっていた。しかし、入力エラーを示す文字列は無数に考えられるため、それらの全てをあらかじめ網羅したキーワードリストを用意することは困難であり、結果として誤検知が多く発生するという課題があった。
さらに、Webアプリケーションがパラメータ改ざんを検出できなかった場合でも、偶然レスポンス内にキーワードが含まれていた場合には、脆弱性無しとみなされてしまうという課題も存在した。
本発明は、キーワードに依存することなく、Webアプリケーションのパラメータ改ざん検出機能を診断する診断装置の提供を目的とする。
本発明のサーバ診断装置は、
アプリケーションプログラムを実行することによりネットワークを介してリクエストを受け付けて受け付けたリクエストに対応するとともにタグを用いた言語で作成されたレスポンスをネットワークを介して返信するサーバを診断するサーバ診断装置において、
正常リクエストと正常リクエストを改ざんした不正リクエストとを前記サーバに送信するリクエスト送信部と、
前記リクエスト送信部が送信した正常リクエストと不正リクエストとを受信した前記サーバから、正常リクエストに対応するとともにタグを用いた言語で作成された正常対応レスポンスと、不正リクエストに対応するとともにタグを用いた言語で作成された不正対応レスポンスとを受信するレスポンス受信部と、
前記レスポンス受信部が受信した正常対応レスポンスと不正対応レスポンスとのタグ構造に基づいて、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定する判定部と、
前記判定部が判定した判定結果を出力装置に出力する判定結果出力部と
を備えたことを特徴とする。
アプリケーションプログラムを実行することによりネットワークを介してリクエストを受け付けて受け付けたリクエストに対応するとともにタグを用いた言語で作成されたレスポンスをネットワークを介して返信するサーバを診断するサーバ診断装置において、
正常リクエストと正常リクエストを改ざんした不正リクエストとを前記サーバに送信するリクエスト送信部と、
前記リクエスト送信部が送信した正常リクエストと不正リクエストとを受信した前記サーバから、正常リクエストに対応するとともにタグを用いた言語で作成された正常対応レスポンスと、不正リクエストに対応するとともにタグを用いた言語で作成された不正対応レスポンスとを受信するレスポンス受信部と、
前記レスポンス受信部が受信した正常対応レスポンスと不正対応レスポンスとのタグ構造に基づいて、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定する判定部と、
前記判定部が判定した判定結果を出力装置に出力する判定結果出力部と
を備えたことを特徴とする。
本発明により、キーワードに依存することなく、Webアプリケーションのパラメータ改ざん検出機能の診断を行うことができる。
実施の形態1.
図1〜図4を用いて実施の形態1を説明する。実施の形態1は、Webアプリケーションプログラム(以下、Webアプリケーションという)を実行するWebサーバの脆弱性を診断するサーバ診断装置に関する。
図1〜図4を用いて実施の形態1を説明する。実施の形態1は、Webアプリケーションプログラム(以下、Webアプリケーションという)を実行するWebサーバの脆弱性を診断するサーバ診断装置に関する。
図1は、実施の形態1に係るサーバ診断装置200の構成を示す図である。図1を参照して、実施の形態1の概要を説明する。
(1)サーバ診断装置200は、診断対象Webサーバ212上で動作しているWebアプリケーションの脆弱性を検出する。サーバ診断装置200は、診断対象Webサーバ212に様々なHTTPリクエストを送信し、その応答を解析することで脆弱性を判定する。例えば、サーバ診断装置200は診断対象Webサーバ212に正常なリクエストと、この正常なリクエストを改ざんした不正リクエストとを送信する。
(2)診断対象Webサーバ212は、リクエストに応答し、このリクエストに対応するレスポンスを返信する。このレスポンスは、リクエストに応じたHTML(タグを用いた言語の一例)ページを含む。正常リクエストに対応するレスポンスを、以下、「正常対応レスポンス」という。また、不正リクエストに対応するレスポンスを「不正対応レスポンス」という。
(3)サーバ診断装置200は、診断対象Webサーバ212から正常対応レスポンス、不正対応レスポンスを受信する。そして、サーバ診断装置200は、「正常対応レスポンス」に含まれるHTMLページのタグ構造と、「不正対応レスポンス」に含まれるHTMLページのタグ構造とを比較する。サーバ診断装置200は、このタグ構造の比較結果によって、診断対象Webサーバ212が脆弱であるかどうかを判断する。
ここでタグ構造は、HTMLページに出現するタグの出現パターンを示す後述のタグパターンや、タグパターンから作成される後述の正規表現文字列(正常縮約タグパターン)を含む。このように、タグ構造の比較結果によって診断対象Webサーバ212が脆弱であるかどうかを判断することが特徴である。サーバ診断装置200は、不正対応レスポンスのタグ構造が、正常対応レスポンスのタグ構造と変化が無い場合、診断対象Webサーバ212の脆弱を指摘する。
(1)サーバ診断装置200は、診断対象Webサーバ212上で動作しているWebアプリケーションの脆弱性を検出する。サーバ診断装置200は、診断対象Webサーバ212に様々なHTTPリクエストを送信し、その応答を解析することで脆弱性を判定する。例えば、サーバ診断装置200は診断対象Webサーバ212に正常なリクエストと、この正常なリクエストを改ざんした不正リクエストとを送信する。
(2)診断対象Webサーバ212は、リクエストに応答し、このリクエストに対応するレスポンスを返信する。このレスポンスは、リクエストに応じたHTML(タグを用いた言語の一例)ページを含む。正常リクエストに対応するレスポンスを、以下、「正常対応レスポンス」という。また、不正リクエストに対応するレスポンスを「不正対応レスポンス」という。
(3)サーバ診断装置200は、診断対象Webサーバ212から正常対応レスポンス、不正対応レスポンスを受信する。そして、サーバ診断装置200は、「正常対応レスポンス」に含まれるHTMLページのタグ構造と、「不正対応レスポンス」に含まれるHTMLページのタグ構造とを比較する。サーバ診断装置200は、このタグ構造の比較結果によって、診断対象Webサーバ212が脆弱であるかどうかを判断する。
ここでタグ構造は、HTMLページに出現するタグの出現パターンを示す後述のタグパターンや、タグパターンから作成される後述の正規表現文字列(正常縮約タグパターン)を含む。このように、タグ構造の比較結果によって診断対象Webサーバ212が脆弱であるかどうかを判断することが特徴である。サーバ診断装置200は、不正対応レスポンスのタグ構造が、正常対応レスポンスのタグ構造と変化が無い場合、診断対象Webサーバ212の脆弱を指摘する。
次に図1を参照して、サーバ診断装置200の構成を説明する。サーバ診断装置200は、装置操作部201、検査制御部202、リクエスト送信部230、HTTPレスポンス受信部206、判定部220、タグパターン保存部210、判定結果出力部241とを備える。
リクエスト送信部230は、正常HTTPリクエスト生成部203、パラメータ改ざん部204、HTTPリクエスト送信部205を備える。
判定部220は、タグパターン抽出部207、タグパターン縮約部208、タグパターン変化検出部209を備える。
サーバ診断装置200は、ネットワーク211、インターネット等を介して診断対象Webサーバ212と接続されている。
次に、各構成要素の機能を説明する。まず検査制御部202は、サーバ診断装置200の全体を統括し、装置操作部201を介して入力されたユーザ(検査実施者250)からの命令に応じて、各構成要素を適切にコントロールする。
リクエスト送信部230は、正常リクエストと正常リクエストを改ざんした不正リクエストとを診断対象Webサーバ212に送信する。まず正常HTTPリクエスト生成部203が検査制御部202からの要求に応じ、診断対象Webサーバ212で受理される正しいHTTPリクエストを生成する。そしてパラメータ改ざん部204が、正常HTTPリクエスト生成部203が生成した正しいHTTPリクエスト(正常リクエスト)を元に、診断に用いるためのHTTPリクエスト(不正リクエスト)を生成する。どのような改変を行うかは検査制御部202が決定する。図2は、改ざん(改変)の例を示している。
図2の改ざん例を説明する。図2の(a)〜(c)において、破線で囲まれた部分が改変箇所を示している。(a)はURL改変の例を示しており、「a=1」を「a=100」と改変している。(b)はリクエストボディ改変の例を示しており、「a=1」を「a=100」と改変している。(c)はCookie改変の例を示しており、「id=guest」を「id=admin」と改変している。
HTTPリクエスト送信部205は、生成されたHTTPリクエスト(正常リクエスト、不正リクエスト)をネットワーク211を介して診断対象Webサーバ212に送信する。必要に応じて暗号プロトコルを使用しても構わない。
次に受信側の各構成要素について説明する。HTTPレスポンス受信部206は、診断対象Webサーバ212から送信されてきたHTTPレスポンス(正常対応レスポンス、不正対応レスポンス)を受信する。
次に判定部220を説明する。判定部220は、HTTPレスポンス受信部206が受信した正常対応レスポンスと不正対応レスポンスとについてのタグ構造に基づいて、アプリケーションプログラムを実行する診断対象Webサーバ212が脆弱かどうかを判定する。判定部220のタグパターン抽出部207は、HTTPレスポンス受信部206が受信したHTTPレスポンスの中のHTMLを解析し、その中のタグの出現パターンを「タグパターン」として抽出する。タグパターン縮約部208は、タグパターン抽出部207が抽出したタグパターンのうち、繰り返し構造を持つ部分を縮約した正規表現文字列を生成する。タグパターン変化検出部209はタグパターン抽出部207によって抽出されたタグパターンと、タグパターン保存部210中の正規表現文字列とを比較して、一致するかどうかを検査する。
タグパターン保存部210は、タグパターン縮約部208によって生成された正規表現文字列を後で参照できる形式で保存しておく。
判定結果出力部241は、判定部220が判定した判定結果を液晶ディスプレイやCRT(Cathode Ray Tube)などの表示装置や、プリンタ、あるいはHDD(Hard Disk Drive)やFDD(Flexible Disk Drive)などの記録装置に出力する。
本実施の形態は、Webアプリケーション(診断対象Webサーブ212)が改ざんを検出した場合、WebアプリケーションがHTTPレスポンスに、HTTPリクエストが受理されなかった旨をユーザに通知するHTMLを含めてサーバ診断装置に送り返すことを前提としており、この場合、正規のリクエストを送信した場合に返されるHTMLとは文書の構造が異なってくるので、それを検出するものである。
本実施の形態は、Webアプリケーション(診断対象Webサーブ212)が改ざんを検出した場合、WebアプリケーションがHTTPレスポンスに、HTTPリクエストが受理されなかった旨をユーザに通知するHTMLを含めてサーバ診断装置に送り返すことを前提としており、この場合、正規のリクエストを送信した場合に返されるHTMLとは文書の構造が異なってくるので、それを検出するものである。
図3を参照してサーバ診断装置200の動作について説明する。図3はサーバ診断装置200の動作を示すフローチャートである。はじめに、検査実施者250は、装置操作部201を通じて検査制御部202に検査を要求する。
(1)検査制御部202は、まず、正常HTTPリクエスト生成部203を用いて診断対象Webサーバ212上のWebアプリケーションが正常に受理できるような「正常リクエスト」を生成(ステップ301)する。
(2)サーバ診断装置200は、この正常リクエストを、HTTPリクエスト送信部205を介して検査対象Webサーバに送信する(ステップ302)。
(3)診断対象Webサーバ212は、正常リクエストに対応する正常対応レスポンスをサーバ診断装置200に返信する。HTTPレスポンス受信部206が、この正常対応レスポンスを受信する(ステップ303)。
(4)その後、サーバ診断装置200は、タグパターン抽出部207によって正常対応レスポンス中のHTMLのタグパターンを抽出する(ステップ304)。
(5)タグパターン縮約部208は、タグパターン抽出部207が抽出したタグパターンを正規表現文字列(正常縮縮約タグパターンの一例)に変換する(ステップ305)。
(6)そして、タグパターン保存部210が、正規表現文字列に変換されたタグパターンを記憶する(ステップ306)。
(1)検査制御部202は、まず、正常HTTPリクエスト生成部203を用いて診断対象Webサーバ212上のWebアプリケーションが正常に受理できるような「正常リクエスト」を生成(ステップ301)する。
(2)サーバ診断装置200は、この正常リクエストを、HTTPリクエスト送信部205を介して検査対象Webサーバに送信する(ステップ302)。
(3)診断対象Webサーバ212は、正常リクエストに対応する正常対応レスポンスをサーバ診断装置200に返信する。HTTPレスポンス受信部206が、この正常対応レスポンスを受信する(ステップ303)。
(4)その後、サーバ診断装置200は、タグパターン抽出部207によって正常対応レスポンス中のHTMLのタグパターンを抽出する(ステップ304)。
(5)タグパターン縮約部208は、タグパターン抽出部207が抽出したタグパターンを正規表現文字列(正常縮縮約タグパターンの一例)に変換する(ステップ305)。
(6)そして、タグパターン保存部210が、正規表現文字列に変換されたタグパターンを記憶する(ステップ306)。
(7)次にサーバ診断装置200は、正常HTTPリクエスト生成部203を用いて、再び正常リクエストを生成(ステップ307)する。
(8)サーバ診断装置200は、パラメータ改ざん部204を用いて、生成した正常リクエストの中の「フォームパラメータ」及び「クッキーパラメータ」を一部改変した不正なリクエストである不正リクエストを生成する(ステップ308)。
(9)その後、不正リクエストをHTTPリクエスト送信部205を介して診断対象Webサーバ212に送信する(ステップ309)。
(8)サーバ診断装置200は、パラメータ改ざん部204を用いて、生成した正常リクエストの中の「フォームパラメータ」及び「クッキーパラメータ」を一部改変した不正なリクエストである不正リクエストを生成する(ステップ308)。
(9)その後、不正リクエストをHTTPリクエスト送信部205を介して診断対象Webサーバ212に送信する(ステップ309)。
なお、本診断は、正規のリクエストで用いられている値の改ざんをWebアプリケーションが正しく検出できるかどうかを目的としている。そのため、特にブラウザによる操作では通常変更されることのないパラメータに対する改変を行う。具体的には、クッキーパラメータ及び、チェックボックスやメニューのような選択肢が限定されているフォームパラメータ、さらに、画面上には一切表示されず、サーバから与えられた情報をそのまま送り返すもの(HTML上では、type=’hidden’を指定されたinput要素が相当する)を通じて入力されるフォームパラメータが該当する。
引き続き図3を参照して動作を説明する。
(10)HTTPレスポンス受信部206が、診断対象Webサーバ212からの不正対応レスポンスを受信する(ステップ310)。
(11)タグパターン抽出部207が、不正対応レスポンスの中に含まれるHTMLのタグのパターンを抽出する(ステップ311)。
(12)タグパターン変化検出部209が、不正対応レスポンスから抽出されたタグパターンと、タグパターン保存部210が記憶する正常対応レスポンスのタグパターンの正規表現文字列とを比較する。これにより、不正対応レスポンスの中のタグパターンが、正常対応レスポンスの正規表現にマッチするかどうかが検査される(ステップ312)。
(13)マッチした場合は、改ざんされた不正リクエストに対応する不正対応レスポンスであるにもかかわらず、正常対応レスポンスと比べページの構造が変化しなかったことを表す。よって、タグパターン変化検出部209は、Webアプリケーションが、改ざんされた不正リクエストを検出できず、通常(正常リクエスト)と同様に処理したとみなし、脆弱性と判定し、判定結果出力部241により「脆弱である」ことを出力する(ステップ313)。具体的には、判定結果出力部241は、「脆弱である」ことを表示部に表示したり、プリンタに出力することで、検査実施者250に報告する。
(14)マッチしなかった場合は、タグパターン変化検出部209は、診断対象Webサーバ212が不正リクエストの改ざんを検出してエラーを示すページを返したとみなす。この場合、タグパターン変化検出部209は、判定結果出力部241により「脆弱性無し」を出力する(ステップ314)。具体的には、判定結果出力部241は、「脆弱性無し」であることを表示部(図示していない)に表示したり、プリンタ(図示していない)に出力したりすることで、検査実施者250に報告する。
(10)HTTPレスポンス受信部206が、診断対象Webサーバ212からの不正対応レスポンスを受信する(ステップ310)。
(11)タグパターン抽出部207が、不正対応レスポンスの中に含まれるHTMLのタグのパターンを抽出する(ステップ311)。
(12)タグパターン変化検出部209が、不正対応レスポンスから抽出されたタグパターンと、タグパターン保存部210が記憶する正常対応レスポンスのタグパターンの正規表現文字列とを比較する。これにより、不正対応レスポンスの中のタグパターンが、正常対応レスポンスの正規表現にマッチするかどうかが検査される(ステップ312)。
(13)マッチした場合は、改ざんされた不正リクエストに対応する不正対応レスポンスであるにもかかわらず、正常対応レスポンスと比べページの構造が変化しなかったことを表す。よって、タグパターン変化検出部209は、Webアプリケーションが、改ざんされた不正リクエストを検出できず、通常(正常リクエスト)と同様に処理したとみなし、脆弱性と判定し、判定結果出力部241により「脆弱である」ことを出力する(ステップ313)。具体的には、判定結果出力部241は、「脆弱である」ことを表示部に表示したり、プリンタに出力することで、検査実施者250に報告する。
(14)マッチしなかった場合は、タグパターン変化検出部209は、診断対象Webサーバ212が不正リクエストの改ざんを検出してエラーを示すページを返したとみなす。この場合、タグパターン変化検出部209は、判定結果出力部241により「脆弱性無し」を出力する(ステップ314)。具体的には、判定結果出力部241は、「脆弱性無し」であることを表示部(図示していない)に表示したり、プリンタ(図示していない)に出力したりすることで、検査実施者250に報告する。
上記動作は、Webアプリケーション(診断対象Webサーバ212)が改ざんを検出した場合、Webアプリケーションから送り返されるHTTPレスポンスにはリクエストが受理されなかった旨をユーザに通知するHTMLが含まれているはずであり、正規のリクエストを送信した場合に返されるHTMLとは文書の構造が異なってくるという仮定に基づいている。
次に、図4を参照しながら、サーバ診断装置200の特徴部であるタグパターン抽出部207及びタグパターン縮約部208について詳しく説明する。
タグパターン抽出部207は、与えられたHTTPレスポンス(正常対応レスポンス及び不正対応レスポンスの両者)の中のボディ部に格納されているHTMLのタグを順番に抽出し、タグ名を要素に持つ「タグ名リスト」を生成する。例えば、図4に示すようなHTML401がHTTPレスポンス(正常対応レスポンスあるいは不正対応レスポンス)の中に含まれていたとする。その場合、タグパターン抽出部207は、図4に示すような「タグ名リスト402」を生成する。なお、タグ名リスト402における「⇒」の記号は、各要素がリストとして並んでいることを表現している。図からも判るとおり、HTML中のタグ名以外の情報は全て無視される。
本実施の形態1では、タグの名称のみをリストとして抽出しているが、これは一例である。例えば、<div>や<span>のように、タグの中のclass属性がタグ名そのものよりも、その要素の文書中の意味を良く表している場合が考えられる。そのような場合には、タグ名ではなく、class属性をタグ名の代わりとして用いても構わない。
また、タグ名は、HTMLでは大文字小文字は区別されない。このため、タグ名を全て大文字もしくは小文字に変換した後にリストを生成しても構わない。
次に、タグパターン縮約部208の動作について説明する。タグパターン縮約部208は、タグパターン抽出部207からタグ名リストを受け取り、その中で、繰り返し構造を持つものを縮約した正規表現文字列(正常縮約タグパターンの一例)を生成する。これは、このような繰り返し構造を持つ部分は、Webアプリケーション内部のデータを列挙するために用いられる場合が多く、アクセスのたびにその繰り返し個数が変化する恐れがあるためである。換言すれば、同一の正常リクエストであっても、その正常対応レスポンスは、アクセスのたびに繰り返し個数が変化するおそれがあるからである。繰り返しを許すタグにはtr、li、option等が存在するが、別のタグに対して繰り返しを許しても良い。また繰り返し構造中に別の繰り返し構造が現れるような入れ子構造となっていても構わない。
最終的にタグパターン縮約部208は、図4に示すような正規表現文字列403を生成し、タグパターン保存部210に格納する。正規表現文字列403の「(,tr,td,/td,td,/td,/tr)+」の部分は、正規表現で繰り返しを表している。なお、本実施の形態1ではタグ名の区切り子としてカンマ(,)を用いたが、タグ名で使用されず、かつ正規表現で特殊な意味にとられない文字ならば他の文字を使用することも可能である。さらに、本実施の形態1では実装の容易さから表現形式として正規表現を選択したが、繰り返し構造を表現できるその他の表現形式を用いても構わない。
最後にタグパターン変化検出部209の動作について説明する。タグパターン変化検出部209は、タグパターン抽出部207からタグ名リスト(不正対応レスポンスから作成したリスト)を受け取ると、それらをカンマ(,)で連結した文字列を生成する。次に、この文字列をタグパターン保存部210中に格納されている正規表現文字列(正常対応レスポンスから作成された正規表現文字列)とマッチさせる。マッチした場合には、タグパターンの変化は無かったものと判定し、マッチしなかった場合にはタグパターンが変化したと判定する。
以上、本実施の形態1のサーバ診断装置200は、判定部220が、正しいリクエスト(正常リクエスト)と改ざんされたリクエスト(不正リクエスト)とを送信したときのレスポンス(正常対応レスポンス及び不正対応レスポンス)におけるHTMLに含まれるタグの出現順序の変化を検出することにより、キーワードに依存することなく、Webアプリケーションのパラメータ改ざん検出機能について診断を行うことができる。
実施の形態1のサーバ診断装置200は、タグパターン縮約部208を備えたので、正常対応レスポンスごとに、繰り返し構造の部分の繰り返し個数が異なる場合でも、それぞれを正常対応レスポンスと判定することができる。
実施の形態2.
図5を用いて実施の形態2を説明する。実施の形態2は、サーバ診断装置200が診断対象Webサーバ212の異常終了を検知する実施形態である。実施の形態2のサーバ診断装置200の構成は、図1に示した実施の形態1と同様である。実施の形態2では、サーバ診断装置200が診断対象Webサーバ212の異常終了を診断するが、サーバ診断装置200は、診断対象Webサーバ212に対し、正常リクエストと不正リクエストとに加えて、「攻撃リクエスト」を送信する。「攻撃リクエスト」とは、正常リクエストを改ざんしたリクエストであって、Webアプリケーションプログラムの異常終了を目的とするリクエストである。診断対象Webサーバ212は攻撃リクエストを受信すると、攻撃リクエストに対応するレスポンスである攻撃対応レスポンスを返信する。サーバ診断装置200は、攻撃対応レスポンスからタグパターンを抽出し、攻撃対応レスポンス、正常対応レスポンス及び不正対応レスポンスのそれぞれのタグ構造に基づいて、診断対象Webサーバ212が異常終了した可能性があるかどうかを判定する。
図5を用いて実施の形態2を説明する。実施の形態2は、サーバ診断装置200が診断対象Webサーバ212の異常終了を検知する実施形態である。実施の形態2のサーバ診断装置200の構成は、図1に示した実施の形態1と同様である。実施の形態2では、サーバ診断装置200が診断対象Webサーバ212の異常終了を診断するが、サーバ診断装置200は、診断対象Webサーバ212に対し、正常リクエストと不正リクエストとに加えて、「攻撃リクエスト」を送信する。「攻撃リクエスト」とは、正常リクエストを改ざんしたリクエストであって、Webアプリケーションプログラムの異常終了を目的とするリクエストである。診断対象Webサーバ212は攻撃リクエストを受信すると、攻撃リクエストに対応するレスポンスである攻撃対応レスポンスを返信する。サーバ診断装置200は、攻撃対応レスポンスからタグパターンを抽出し、攻撃対応レスポンス、正常対応レスポンス及び不正対応レスポンスのそれぞれのタグ構造に基づいて、診断対象Webサーバ212が異常終了した可能性があるかどうかを判定する。
本実施の形態2の目的は、パラメータの改ざんを行う際に、Webアプリケーションあるいはサーバ、OS(Operating System)にとって特殊な意味を持つ文字を含めることで、Webアプリケーションの異常な終了を検出することにある。このような特殊な文字としては、クオート(‘)、ダブルクオート(“)、改行コード、等が良く知られているが、他の文字を使用することももちろん可能である。
次に図5を参照しながら動作を説明する。図中の端子A、端子Bは、図3の端子A、端子Bを示し、図5が図3から継続していることを示している。
(1)その後、改ざんされた不正リクエストによってページが変化した場合、本実施の形態2では、不正対応レスポンスに含まれるHTMLについてもタグパターン縮約部208が正規表現文字列を生成する(ステップ501)。
(2)そしてタグパターン縮約部208が、不正対応レスポンスについての正規表現文字列をタグパターン保存部210中に格納する(ステップ502)。
(1)その後、改ざんされた不正リクエストによってページが変化した場合、本実施の形態2では、不正対応レスポンスに含まれるHTMLについてもタグパターン縮約部208が正規表現文字列を生成する(ステップ501)。
(2)そしてタグパターン縮約部208が、不正対応レスポンスについての正規表現文字列をタグパターン保存部210中に格納する(ステップ502)。
(3)ステップ503で、再び正常HTTPリクエスト生成部203によりHTTPリクエスト(正常リクエスト)を生成する。
(4)パラメータ改ざん部204が正常リクエストに含まれる必要なパラメータの改ざんを行い、攻撃リクエストを生成する(ステップ504)。このときの改ざんは、前記の不正リクエストの生成(図3のS308)における改ざんと異なり、前述した異常終了を引き起こすような特殊な文字を含んだ文字列に正常リクエストを改ざんする。
(5)次のステップでは、HTTPリクエスト送信部205が、生成された攻撃リクエストを診断対象Webサーバ212に送信する(ステップ505)。
(6)HTTPレスポンス受信部206が、診断対象Webサーバ212が返信した攻撃対応レスポンスを受信する(ステップ506)。
(7)その後、タグパターン抽出部207が、攻撃対応レスポンスからタグ名リストを生成する(ステップ507)。
(8)タグパターン変化検出部209が、生成された攻撃対応レスポンスのタグ名リストを、保存中の正常対応レスポンスの正規表現文字列と比較する(ステップ508)。
(4)パラメータ改ざん部204が正常リクエストに含まれる必要なパラメータの改ざんを行い、攻撃リクエストを生成する(ステップ504)。このときの改ざんは、前記の不正リクエストの生成(図3のS308)における改ざんと異なり、前述した異常終了を引き起こすような特殊な文字を含んだ文字列に正常リクエストを改ざんする。
(5)次のステップでは、HTTPリクエスト送信部205が、生成された攻撃リクエストを診断対象Webサーバ212に送信する(ステップ505)。
(6)HTTPレスポンス受信部206が、診断対象Webサーバ212が返信した攻撃対応レスポンスを受信する(ステップ506)。
(7)その後、タグパターン抽出部207が、攻撃対応レスポンスからタグ名リストを生成する(ステップ507)。
(8)タグパターン変化検出部209が、生成された攻撃対応レスポンスのタグ名リストを、保存中の正常対応レスポンスの正規表現文字列と比較する(ステップ508)。
図5のS509以降のステップについて説明する。タグパターン変化検出部209は、攻撃対応レスポンスのタグ名リストから、実施の形態1と同様、タグ名をカンマ(,)で連結した文字列を生成する。そして、「攻撃対応レスポンスのタグ名リストから生成した文字列」(攻撃対応文字列ともいう)と、図3のS306において保存されている「正常対応レスポンスから作成した正規表現文字列」(正常対応文字列ともいう)とマッチングさせる。あるいは、「攻撃対応文字列」と、S502において「不正対応レスポンスから作成した正規表現文字列」(「不正対応文字列」ともいう)が保存されている場合は、「攻撃対応文字列」と、「不正対応文字列」とをマッチングさせる。
このとき、図5に示すように、次の(a)〜(d)の4通りの場合が考えられる。
(a)「攻撃対応文字列」が「正常対応文字列」にマッチする(攻撃=正常)場合である。図5において「S509→S510→END」のルートである。
(b)「攻撃対応文字列」が「正常対応文字列」にマッチせず、かつ、「不正対応文字列」にマッチする(攻撃≠正常、かつ、攻撃=不正)場合である。不正対応レスポンス及び攻撃対応レスポンスともに、「入力が不正です」等を示すいわゆるエラーページが返信されたような場合である。図5において「S509→S511→S512→S513→514→END」のルートである。
(c)「攻撃対応文字列」が、「正常対応文字列」にマッチせず、かつ、「不正対応文字列」が存在しない(攻撃≠正常、かつ、正常=不正。すなわち、攻撃≠正常、かつ、攻撃≠不正)。ここで「不正対応文字列」が存在しないとは、図3のS312においてタグパターン変化検出部209が「正常対応文字列」=「不正対応文字列」と検出したため、図5の端子Bに進んだ場合である。図5において「S509→S511→S515→END」のルートである。
(d)「攻撃対応文字列」が「正常対応文字列」、「不正対応文字列」のどちらにもマッチしない(攻撃≠正常、かつ、攻撃≠不正)場合である。図5において「S509→S511→S512→S513→515→END」のルートである。
このとき、図5に示すように、次の(a)〜(d)の4通りの場合が考えられる。
(a)「攻撃対応文字列」が「正常対応文字列」にマッチする(攻撃=正常)場合である。図5において「S509→S510→END」のルートである。
(b)「攻撃対応文字列」が「正常対応文字列」にマッチせず、かつ、「不正対応文字列」にマッチする(攻撃≠正常、かつ、攻撃=不正)場合である。不正対応レスポンス及び攻撃対応レスポンスともに、「入力が不正です」等を示すいわゆるエラーページが返信されたような場合である。図5において「S509→S511→S512→S513→514→END」のルートである。
(c)「攻撃対応文字列」が、「正常対応文字列」にマッチせず、かつ、「不正対応文字列」が存在しない(攻撃≠正常、かつ、正常=不正。すなわち、攻撃≠正常、かつ、攻撃≠不正)。ここで「不正対応文字列」が存在しないとは、図3のS312においてタグパターン変化検出部209が「正常対応文字列」=「不正対応文字列」と検出したため、図5の端子Bに進んだ場合である。図5において「S509→S511→S515→END」のルートである。
(d)「攻撃対応文字列」が「正常対応文字列」、「不正対応文字列」のどちらにもマッチしない(攻撃≠正常、かつ、攻撃≠不正)場合である。図5において「S509→S511→S512→S513→515→END」のルートである。
(a)に該当した場合を説明する(攻撃=正常)。この場合、Webアプリケーション(サーバ診断装置200)は、「攻撃対応文字列」と「正常対応文字列」とがマッチするような攻撃対応レスポンス、正常対応レスポンスとを返信している。よって、タグパターン変化検出部209は、Webアプリケーションがパラメータの改ざんを検出できなかったとみなす。そしてタグパターン変化検出部209は、判定結果出力部241に「改ざん検出漏れ」の警告を表示装置(図示していない)に表示させる(ステップ510)。
(b)に該当した場合を説明する(攻撃≠正常、かつ、攻撃=不正)。この場合、タグパターン変化検出部209は、診断対象Webサーバ212が不正リクエストの場合と同様にエラー処理を正しく行ったとみなす。そして、タグパターン変化検出部209は、判定結果出力部241に「脆弱性は無し」の表示を表示装置(図示していない)に表示させる(ステップ514)。
最後に(c)、(d)に該当した場合を説明する(攻撃≠正常、かつ、攻撃≠不正)。この場合は、Webアプリケーションが通常(正常リクエスト)のリクエスト処理とも改ざん検出後(不正リクエスト検出)の処理とも別の挙動を示したとみなすことができる。これは、Webアプリケーションが入力データの処理中に異常終了した際に典型的に現れるパターンである。よって、この場合は、タグパターン変化検出部209は、送信された特殊文字によってシステムが誤動作を引き起こした可能性があることを示す「Webアプリケーションの異常終了警告」の表示を表示装置(図示していない)に表示させる(ステップ515)。
以上のように、実施の形態2におけるサーバ診断装置200は、判定部220が、正常リクエストのレスポンスHTML(正常対応レスポンス)の正規表現文字列だけでなく、改ざんされたリクエスト(不正リクエスト)送信時のレスポンスHTML(不正対応レスポンス)の正規表現文字列も格納し、さらに特殊文字を用いた改ざんリクエスト(攻撃リクエスト)を送信した際のレスポンスHTML(攻撃対応レスポンス)のタグパターンと前記両者の正規表現とを比較することで、特殊文字の取り扱いミスによるWebアプリケーションの異常終了を検出することができる。
実施の形態3.
図6、図7を参照して実施の形態3を説明する。実施の形態3は、ネットワーク609を流れる通信を常に監視することで、Webアプリケーション(Webサーバ)へのアタックを検出する装置である。
図6、図7を参照して実施の形態3を説明する。実施の形態3は、ネットワーク609を流れる通信を常に監視することで、Webアプリケーション(Webサーバ)へのアタックを検出する装置である。
図6は実施の形態3に係るサーバ監視装置600の構成図である。サーバ監視装置600は、ネットワーク609上を流れる監視対象Webサーバ610とクライアント端末611との間の通信を監視している。図に示すように、サーバ監視装置600は、ページ変化報告部601、全体制御部602、HTTPリクエスト傍受部603、比較対象タグパターン決定部604、タグパターン保存部605、HTTPレスポンス傍受部606、判定部620、判定結果出力部631を備える。
また、判定部620は、タグパターン抽出部607、タグパターン変化検出部608を備える。
次に、図7を参照してサーバ監視装置600の動作を説明する。サーバ監視装置600は、あらかじめタグパターン保存部605中に、リクエストの内容をキーとして、対応するレスポンス中に現れるHTMLページのタグパターンを表す正規表現文字列を検索可能な形式で格納しておく。この処理は手動で行っても良いし、学習によって自動的に行わせても良い。
S801において、クライアント端末611が監視対象Webサーバ610にHTTPリクエストを送信すると、そのメッセージはネットワークを監視しているHTTPリクエスト傍受部603が傍受する。
S802において、傍受されたHTTPリクエストの内容は、比較対象タグパターン決定部604に渡される。そして、比較対象タグパターン決定部604は、監視対象Webサーバ610が返すと予想されるレスポンスに対応するタグパターンの正規表現文字列を、タグパターン保存部605の中から選択(検索)する。
S803において、監視対象Webサーバ610からHTTPレスポンスがクライアント端末611に返されると、このメッセージをHTTPレスポンス傍受部606が傍受する。
S804において、タグパターン抽出部607が、HTTPレスポンスのボディ部に格納されているHTMLから、タグ名リストを抽出する。
S805において、タグパターン変化検出部608は、比較対象タグパターン決定部604がタグパターン保存部605の中から選択(検索)した正規表現文字列と、タグパターン抽出部607がHTTPレスポンスから抽出したタグ名リストとを比較する。比較の結果、マッチしなかった場合には、タグパターン変化検出部608は、予期せぬページの変化が発生したと判定して、この旨をページ変化報告部601(判定結果出力部の一例)を通じてネットワーク管理者に報告する。
以上のように、実施の形態3のサーバ監視装置は、タグパターン保存部605にあらかじめ本来あるべきタグのパターンを登録しておくことで、監視対象サーバが異常処理を起こした場合や、ページの改ざん等を受けた場合であっても、迅速にネットワーク管理者に通知することができる。また、サーバ監視装置によれば、未知の攻撃によるWebアプリケーションの動作異常も検出できる。
実施の形態4.
図8〜図10を用いて実施の形態4を説明する。実施の形態4は、実施の形態1のサーバ診断装置200の動作を、プログラム及びプログラムを記録した記録媒体により実施する実施形態である。
図8〜図10を用いて実施の形態4を説明する。実施の形態4は、実施の形態1のサーバ診断装置200の動作を、プログラム及びプログラムを記録した記録媒体により実施する実施形態である。
前記の実施の形態1においては、サーバ診断装置200における各構成要素の動作は互いに関連しており、動作の関連を考慮しながら、コンピュータに実施させる一連の処理に置き換えることができる。各構成要素の動作を一連の処理に置き換えることにより、サーバ診断プログラムの実施形態とすることができる。また、このサーバ診断プログラムを、コンピュータ読み取り可能な記録媒体に記録させることで、プログラムを記録したコンピュータ読み取り可能な記録媒体の実施の形態とすることができる。
図8は、図1のサーバ診断装置200のリクエスト送信部230の動作、HTTPレスポンス受信部206(レスポンス受信部)の動作、判定部220の動作、及び判定結果出力部241の動作を、コンピュータに実施させる一連の処理に置き換えてサーバ診断プログラムの実施形態としたフローチャートを示す。
S901は、正常リクエストと正常リクエストを改ざんした不正リクエストとを診断対象Webサーバ212に送信する処理である。リクエスト送信部230の動作に対応する。
S902は、送信した正常リクエストと不正リクエストとを受信した診断対象Webサーバ212サーバから、正常リクエストに対応するとともにHTML(タグを用いた言語)で作成された正常対応レスポンスと、不正リクエストに対応するとともにHTML(タグを用いた言語)で作成された不正対応レスポンスとを受信する処理である。HTTPレスポンス受信部206の動作に対応する。
S903は、受信した正常対応レスポンスと不正対応レスポンスとのタグ構造に基づいて、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定する処理である。判定部220の動作に対応する。
S904は、判定した判定結果を出力装置に出力する処理である。判定結果出力部241の動作に対応する。
プログラムの実施の形態及びプログラムを記録したコンピュータ読み取り可能な記録媒体の実施の形態は、すべてコンピュータで動作可能なプログラムにより構成することができる。
図9は、図1に示した実施の形態1のサーバ診断装置200の機能を実現するコンピュータシステム800の外観を示す。図9において、コンピュータシステム800は、システムユニット830、液晶ディスプレイ813、キーボード(K/B)814、マウス815、コンパクトディスク装置(CDD)818、プリンタ819を備え、これらはケーブルで接続されている。また、コンピュータシステム800は、ネットワーク211、インターネットを介して診断対象Webサーバ212に接続されている。これにより、コンピュータシステム800は診断対象Webサーバ212と通信可能である。
図10は、図9のコンピュータシステム800のハードウェア構成図である。図10において、コンピュータシステム800は、プログラムを実行するCPU(Central Processing Unit)810を備えている。CPU810は、バス825を介してROM811、RAM812、液晶ディスプレイ813、K/B814、マウス815、通信ボード816、FDD817、CDD818、プリンタ819、及び磁気ディスク装置820と接続されている。
磁気ディスク装置820には、オペレーティングシステム(OS)821、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823は、CPU810、OS821、ウィンドウシステム822により実行される。
上記プログラム群823には、実施の形態1の図1の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
図1のサーバ診断装置200と図10のコンピュータシステム800との対応関係を説明する。
(1)HTTPリクエスト送信部205、及びHTTPレスポンス受信部206は、プログラム群823に格納されているプログラム及び通信ボード816が対応する。
(2)また、正常HTTPリクエスト生成部203、及びパラメータ改ざん部204は、プログラム群823に格納されているプログラムが対応する。
(3)判定部200は、プログラム群823に格納されているプログラムが対応する。
(4)タグパターン保存部210は、ファイル群824が対応する。
(5)判定結果出力部241は、プログラム群823に格納されているプログラムが対応する。また判定結果出力部241が判定結果を出力する出力装置としては、液晶ディスプレイ813、FDD817、CDD818、プリンタ819、磁気ディスク装置820などが対応する。
(6)検査制御部202は、プログラム群823に格納されているプログラムが対応する。
(7)装置操作部201は、キーボード814、マウス815などが対応する。
(1)HTTPリクエスト送信部205、及びHTTPレスポンス受信部206は、プログラム群823に格納されているプログラム及び通信ボード816が対応する。
(2)また、正常HTTPリクエスト生成部203、及びパラメータ改ざん部204は、プログラム群823に格納されているプログラムが対応する。
(3)判定部200は、プログラム群823に格納されているプログラムが対応する。
(4)タグパターン保存部210は、ファイル群824が対応する。
(5)判定結果出力部241は、プログラム群823に格納されているプログラムが対応する。また判定結果出力部241が判定結果を出力する出力装置としては、液晶ディスプレイ813、FDD817、CDD818、プリンタ819、磁気ディスク装置820などが対応する。
(6)検査制御部202は、プログラム群823に格納されているプログラムが対応する。
(7)装置操作部201は、キーボード814、マウス815などが対応する。
図1において「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
プログラムの実施の形態及びプログラムを記録したコンピュータ読み取り可能な記録媒体の実施の形態における各処理は、プログラムで実行されるが、このプログラムは、前述のようにプログラム群823に記録されている。そして、プログラム群823からCPU810に読み込まれ、CPU810によって、プログラムの各処理が実行される。
また、ソフトウェア、あるいはプログラムは、ROM811に記憶されたファームウェアで実行されても構わない。あるいは、ソフトウェアとファームウェアとハードウェアの組み合わせでプログラムを実行しても構わない。
本実施の形態4のサーバ診断プログラムでは、正しいリクエスト(正常リクエスト)と改ざんされたリクエスト(不正リクエスト)とを送信したときのレスポンス(正常対応レスポンス及び不正対応レスポンス)におけるHTMLに含まれるタグの出現順序の変化を検出することにより、キーワードに依存することなく、Webアプリケーションのパラメータ改ざん検出機能について診断を行うことができる。
100 診断装置、101 装置操作手段、102 検査制御手段、103 正常HTTPリクエスト生成手段、104 パラメータ改ざん手段、105 HTTPリクエスト送信手段、106 HTTPレスポンス受信手段、107 キーワード検索手段、108 ネットワーク、109 診断対象サーバ、200 サーバ診断装置、201 装置操作部、202 検査制御部、203 正常HTTPリクエスト生成部、204 パラメータ改ざん部、205 HTTPリクエスト送信部、206 HTTPレスポンス受信部、207 タグパターン抽出部、208 タグパターン縮約部、209 タグパターン変化検出部、210 タグパターン保存部、211 ネットワーク、212 診断対象Webサーバ、220 判定部、230 リクエスト送信部、241 判定結果出力部、242 表示装置、401 HTML、402 タグ名リスト、403 正規表現文字列、600 サーバ監視装置、601 ページ変化報告部、602 全体制御部、603 HTTPリクエスト傍受部、604 比較対象タグパターン決定部、605 タグパターン保存部、606 HTTPレスポンス傍受部、607 タグパターン抽出部、608 タグパターン変化検出部、609 ネットワーク、610 監視対象Webサーバ、611 クライアント端末、620 判定部、631 判定結果出力部、810 CPU、811 ROM、812 RAM、813 DSP、814 K/B、815 マウス、816 通信ボード、817 FDD、818 CDD、819 プリンタ、820 磁気ディスク装置、821 OS、822 ウィンドウシステム、823 プログラム群、825 バス、830 システムユニット。
Claims (11)
- アプリケーションプログラムを実行することによりネットワークを介してリクエストを受け付けて受け付けたリクエストに対応するとともにタグを用いた言語で作成されたレスポンスをネットワークを介して返信するサーバを診断するサーバ診断装置において、
正常リクエストと正常リクエストを改ざんした不正リクエストとを前記サーバに送信するリクエスト送信部と、
前記リクエスト送信部が送信した正常リクエストと不正リクエストとを受信した前記サーバから、正常リクエストに対応するとともにタグを用いた言語で作成された正常対応レスポンスと、不正リクエストに対応するとともにタグを用いた言語で作成された不正対応レスポンスとを受信するレスポンス受信部と、
前記レスポンス受信部が受信した正常対応レスポンスと不正対応レスポンスとのタグ構造に基づいて、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定する判定部と、
前記判定部が判定した判定結果を出力装置に出力する判定結果出力部と
を備えたことを特徴とするサーバ診断装置。 - 前記判定部は、
前記レスポンス受信部が受信した正常対応レスポンスと不正対応レスポンスとのそれぞれについて、タグの出現パターンを示すタグパターンを抽出するタグパターン抽出部と、
前記タグパターン抽出部が抽出した正常対応レスポンスのタグパターンと不正対応レスポンスのタグパターンとを比較することにより、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定するタグパターン比較部と
を備えたことを特徴とする請求項1記載のサーバ診断装置。 - 前記判定部は、さらに、
前記タグパターン抽出部が抽出した正常対応レスポンスのタグパターンに対して繰り返し構造の部分を縮約し、繰り返し構造の部分を縮約した正常対応レスポンスのタグパターンを正常縮約タグパターンとして作成するタグパターン縮約部を備え、
前記タグパターン比較部は、
前記タグパターン縮約部が作成した正常縮約タグパターンと前記タグパターン抽出部が抽出した不正対応レスポンスのタグパターンとを比較することにより、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定することを特徴とする請求項2記載のサーバ診断装置。 - 前記タグパターン縮約部は、
正常縮約タグパターンを作成する場合に、繰り返し構造の表現形式である正規表現を使用して縮約することを特徴とする請求項3記載のサーバ診断装置。 - 前記タグパターン抽出部は、
タグパターンとして、正常対応レスポンスと不正対応レスポンスとのそれぞれについて、タグで示されているタグ名称を抽出することを特徴とする請求項2記載のサーバ診断装置。 - 前記タグパターン抽出部は、
タグパターンとして、正常対応レスポンスと不正対応レスポンスとのそれぞれについて、タグで示されているクラス属性を抽出することを特徴とする請求項2記載のサーバ診断装置。 - 前記リクエスト送信部は、
正常リクエストを改ざんしたリクエストであってアプリケーションプログラムの異常終了を目的とする攻撃リクエストを前記サーバに送信し、
前記レスポンス受信部は、
前記リクエスト送信部が送信した攻撃リクエストを受信した前記サーバから、攻撃リクエストに対応するとともにタグを用いた言語で作成された攻撃対応レスポンスを受信し、
前記判定部は、
前記レスポンス受信部が受信した攻撃対応レスポンスと正常対応レスポンスと不正対応レスポンスとのそれぞれのタグ構造に基づいて、アプリケーションプログラムが異常終了した可能性があるかどうかを判定することを特徴とする請求項1記載のサーバ診断装置。 - 前記判定部は、
攻撃対応レスポンスのタグ構造が正常対応レスポンスと不正対応レスポンスとのいずれのタグ構造とも異なる場合に、アプリケーションプログラムが異常終了した可能性があると判定することを特徴とする請求項7記載のサーバ診断装置。 - ネットワークを介してリクエストを受け付けて受け付けたリクエストに対応するとともにタグを用いた言語で作成されたレスポンスをネットワークを介して返信するサーバを監視するサーバ監視装置において、
前記サーバへのリクエストを傍受するリクエスト傍受部と、
前記リクエスト傍受部が傍受した前記サーバへのリクエストに応答して前記サーバが返信したレスポンスを傍受するレスポンス傍受部と、
前記サーバへ送信可能なリクエストとそのリクエストに対応するレスポンスのタグ構造との関係を複数記憶するタグ構造記憶部と、
リクエスト傍受部が傍受したリクエストをキーとして、リクエスト傍受部が傍受したリクエストを受信した前記サーバが返信すると予想されるレスポンスのタグ構造を前記タグ構造記憶部から検索する検索部と、
前記検索部が検索したタグ構造と前記レスポンス傍受部が傍受したレスポンスのタグ構造とに基づいて、前記リクエスト傍受部が傍受したリクエストが正常かどうかを判定する判定部と、
前記判定部の判定結果を出力装置に出力する判定結果出力部と
を備えたことを特徴とするサーバ監視装置。 - 前記タグ構造記憶部は、
タグ構造として、タグの出現パターンを示すタグパターンを記憶し、
前記検索部は、
リクエスト傍受部が傍受したリクエストを受信した前記サーバが返信すると思われるレスポンスのタグパターンを前記タグ構造記憶部から検索し、
前記判定部は、
前記レスポンス傍受部が傍受したレスポンスからタグパターンを抽出するタグパターン抽出部と、
前記タグパターン抽出部が抽出したタグパターンと前記検索部が検索したタグパターンとを比較することにより、前記リクエスト傍受部が傍受したリクエストが正常かどうかを判定する比較部と
を備えたことを特徴とする請求項9記載のサーバ監視装置。 - アプリケーションプログラムを実行することによりネットワークを介してリクエストを受け付けて受け付けたリクエストに対応するとともにタグを用いた言語で作成されたレスポンスをネットワークを介して返信するサーバを診断するサーバ診断装置に以下の処理を実行させるためのサーバ診断プログラム
(1)正常リクエストと正常リクエストを改ざんした不正リクエストとを前記サーバに送信する処理
(2)送信した正常リクエストと不正リクエストとを受信した前記サーバから、正常リクエストに対応するとともにタグを用いた言語で作成された正常対応レスポンスと、不正リクエストに対応するとともにタグを用いた言語で作成された不正対応レスポンスとを受信する処理
(3)受信した正常対応レスポンスと不正対応レスポンスとのタグ構造に基づいて、アプリケーションプログラムを実行する前記サーバが脆弱かどうかを判定する処理
(4)判定した判定結果を出力装置に出力する処理
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005161166A JP4619867B2 (ja) | 2005-06-01 | 2005-06-01 | サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005161166A JP4619867B2 (ja) | 2005-06-01 | 2005-06-01 | サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006338246A JP2006338246A (ja) | 2006-12-14 |
| JP4619867B2 true JP4619867B2 (ja) | 2011-01-26 |
Family
ID=37558762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005161166A Expired - Fee Related JP4619867B2 (ja) | 2005-06-01 | 2005-06-01 | サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4619867B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5522850B2 (ja) * | 2010-11-10 | 2014-06-18 | 京セラコミュニケーションシステム株式会社 | 脆弱性診断装置 |
| JP5618861B2 (ja) * | 2011-02-23 | 2014-11-05 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| US10176329B2 (en) * | 2015-08-11 | 2019-01-08 | Symantec Corporation | Systems and methods for detecting unknown vulnerabilities in computing processes |
| JP6976194B2 (ja) * | 2018-02-26 | 2021-12-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 脆弱性判定システム、脆弱性判定方法及びコンピュータプログラム |
| JP7217400B2 (ja) * | 2018-10-31 | 2023-02-03 | GMOサイバーセキュリティbyイエラエ株式会社 | ウェブサイトの脆弱性診断装置、診断システム、診断方法および診断プログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6584569B2 (en) * | 2000-03-03 | 2003-06-24 | Sanctum Ltd. | System for determining web application vulnerabilities |
-
2005
- 2005-06-01 JP JP2005161166A patent/JP4619867B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6584569B2 (en) * | 2000-03-03 | 2003-06-24 | Sanctum Ltd. | System for determining web application vulnerabilities |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006338246A (ja) | 2006-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6530786B2 (ja) | Webページの悪意のある要素を検出するシステム及び方法 | |
| TWI498752B (zh) | 使用簡易貝氏機率模型從未經結構化之資料中擷取資訊並將資訊映射至經結構化之架構描述 | |
| US8893282B2 (en) | System for detecting vulnerabilities in applications using client-side application interfaces | |
| AU2004217115B2 (en) | Associating website clicks with links on a web page | |
| WO2011009295A1 (zh) | Xss检测方法和设备 | |
| JP4745819B2 (ja) | 脆弱性判定システム及び検査装置 | |
| JP4619867B2 (ja) | サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム | |
| JP2015114833A (ja) | 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| CN111259399B (zh) | 用于web应用的动态检测漏洞攻击的方法及系统 | |
| JP4193196B1 (ja) | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム | |
| JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
| US7877736B2 (en) | Computer language interpretation and optimization for server testing | |
| CN112541181A (zh) | 一种检测服务器安全性的方法和装置 | |
| WO2013054248A1 (en) | Generating a predictive data structure | |
| JP4170243B2 (ja) | ウェブアプリケーション検査装置 | |
| US20090158145A1 (en) | Graphical indication of signed content | |
| JP2005242988A (ja) | ログ情報管理システム、サービス提供システム、ログ情報管理プログラムおよびサービス提供プログラム、並びにログ情報管理方法およびサービス提供方法 | |
| US20210390519A1 (en) | Storage medium, detection method, and detection device | |
| JP6291441B2 (ja) | ウェブシステム、ウェブクライアント装置および改ざん検査装置 | |
| US20220156371A1 (en) | Warning apparatus, control method, and program | |
| JP2006350654A (ja) | サーバ計算機 | |
| JP6038326B2 (ja) | データ処理装置及びデータ通信装置及び通信システム及びデータ処理方法及びデータ通信方法及びプログラム | |
| GB2549867A (en) | Log trace device and log trace program | |
| Jorgensen | Testing with hostile data streams |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080404 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100907 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101001 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101026 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101027 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131105 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |