おふとん

IT全般、セキュリティとかCTFとかに偏りがち

ハニーポットを運用する上で気を付けなければならない攻撃手法(Blind XSS)

ハニーポットで得たログはそのままでは見辛いです。
なのでログを整形してWebページなどに出力して解析を行っている方は多いのではないでしょうか?
私もどこでも見ることが出来るという理由からWebページにしています。


その際に考えなければならない攻撃としてBlind XSSという手法があります。
名前からするとBlind SQL injectionのXSS版のように感じますが、実態は違います。
Blind XSSはいわゆるpersistent型(stored型、蓄積型)のXSSですが、一般的なpersistent型は以下のようになります。
f:id:yu_sh38:20180915204918p:plain


このように一般的なpersistent型がWebサイトの訪問者を対象にしているのに対して、Blind XSSはWebサイトの管理者を対象にしています。


以下のようなアクセスがあった場合のログはどのようになるでしょうか?

GET /<script>alert(test)</script>

User-Agentなどでも同様ですが、どのような形にせよログにスクリプトが入って来ます。


このログをWebページに出力しようとすると実装によってはスクリプトが発火する可能性があります。
このようにBlind XSSとはWebページに対してではなく、攻撃者のコードが何らかの形でWebサーバに保存され、それを他のアプリケーションで読みんだ時に発火するXSSです。
なので場合によってはWAFなどでも発火するようです(これは酷い)


ハニーポット運用の敷居が低くなっているからこそ、このような攻撃に気をつけて決して攻撃者側に加担することなくハニーポットライフを楽しみましょう!!