自作の分散型脆弱性スキャンツール

1.序文

ペネトレーションテストやセキュリティスキャン作業において、WEBアプリケーションファイアウォール、侵入検知システム、侵入防御システム、アクセス監視システムなど、アプリケーション保護システムや異常トラフィック監視システムを導入するサイトが増えていることが分かっています。多くの保護システムは、攻撃をリアルタイムで検知し、遮断するだけでなく、自動遮断機能も備えています。特定のIPが特定の時間帯に大量の攻撃を生成していることをシステムが検知すると、ブロッキング機能がオンになり、一定時間そのIPへのアクセスを遮断します。

一般的なアプリケーション保護システムと異常トラフィック監視システムの主なブロック戦略は以下のとおりです：

- シングルIPアクセス周波数
-  +URL頻度
-  +COOKIE特定時間内の攻撃回数
- 1つのIPによる不審な行動や攻撃的な行動の頻度
- 特定期間内に1つのIPがHTTP404ステータスを発動した回数。
- スキャナーの暴力スキャン行動を特定する

2.分散型脆弱性スキャン

2.1 分散型脆弱性スキャンの基本的な考え方

自社開発の「プロキシ配布プログラム」により、スキャナから送信された大量のテストリクエストを、セルフポーリング方式で数千台のHTTPプロキシサーバやhttpプロキシに配布し、スキャナからの大量のテストリクエストを複数の中間プロキシサーバに均等に負荷させることで、保護システムがアクセス頻度や攻撃頻度を判断して遮断ポリシーを発動できないようにします。この方式では、スキャナからの大量のテストリクエストを複数の中間プロキシサーバに均等にロードすることで、保護システムがアクセス頻度や攻撃頻度を判断してブロッキングポリシーを発動することができなくなり、自動スキャンの目的を達成することができます。同時に、中間にBURPフィルタリングのレイヤーを追加することで、各スキャナの特別なフィンガープリントを消去することができ、保護システムが攻撃動作を判断することがより困難になります。

分散型脆弱性スキャンの全体的なフレームワーク図を以下に示します：

2.2 一般的なスキャナと脆弱性検出ツール

脆弱性スキャナは、その機能や特徴から様々なタイプに分類され、主に以下のカテゴリーにまとめられています：

#オールインワンアプリケーション脆弱性スキャナ

- AcunetixWeb Vulnerability Scanner
- IBMAppscan
- HPWebInspect
- Netsparker
- Nussus
- W3af
- BurpSuite
- N-Stalker
 

# 特定の脆弱性ツール

- Sqlmap
- Havij
- Pangolin
- Safe3
 

# ディレクトリ推測ツール

- DirBuster
- wwwscan
- wscan
 

2.3 スキャナ指紋消去

BURPによる脆弱性スキャナのフィンガープリントの消去

データストリームのスキャナー指紋情報は、BURP のリクエスト修正機能を使ってスクラブし、明らかなスキャン行動の特徴を除外することができます。

Burpを開き、"Match and Replace "機能で "Proxy-->Options "を入力し、スキャナのフィンガープリント情報を除去します。スキャナフィンガープリント情報を除去する、スキャナフィンガープリント情報のほとんどは、以下のようにHttpヘッダフィールド、tpパラメータ値、IEの特別なパラメータなどが含まれています：

以下に、いくつかの一般的なアプリケーション脆弱性スキャナのフィンガープリントを要約します：

AcunetixWeb 脆弱性スキャナのフィンガープリント機能

特徴1

リクエストのHTTPヘッダー・フィールドには、以下のカスタム・フィールド名が含まれます：

Acunetix-Aspect
Acunetix-Aspect-Password
Acunetix-Aspect-Queries

特徴2

文字列機能はリクエストのパラメータ値に含まれます：

acunetix_wvs_security_test

特徴3

要求されたURIアドレスは文字列特徴を含んでいます：

/acunetix-wvs-test-for-some-inexistent-file

フィーチャー4

リクエストのCOOKIEパラメータ名には文字列が含まれます：

HPWebInspect フィンガープリントの特徴

特徴1

リクエストのHTTPヘッダー・フィールドには、以下のカスタム・フィールド名が含まれます：

X-WIPP
X-RequestManager-Memo
X-Request-Memo
X-Scan-Memo

特徴2

COOKIE パラメータ名に特徴を含めるように要求します：

Netsparkerのフィンガープリント機能

特徴1

リクエストのパラメータ値には文字列が含まれます：

2.4 HTTPプロキシディストリビュータ

HTTPプロキシディストリビュータは、脆弱性スキャナからの大量のテストリクエストやトラフィックを、複数のプロキシIPアドレスや複数のプロキシIPに均等に振り分けるために使用されます。 大量のスキャントラフィックを多数のプロキシIPに振り分けることで、保護・監視システムのブロックポリシーを回避し、スキャンテストを円滑に実施することができます。

多数のプロキシサーバIPアドレスを取得し、対象サイトからアクセス可能なプロキシアドレスを抽出して「有効なプロキシリスト」を形成。配信者は「有効なプロキシリスト」からプロキシアドレスを抽出し、テストリクエストごとにプロキシIPを切り替え、ポーリング配信を行います。

3.概要

多数のオープンな匿名プロキシIPを使用することで、様々な統計ベースの防御を突破するための多くの機能を実現することができます。例えば

クラッシュ・プロテクションを突破する;
ブルートフォース・プロテクションを突破する;
アドレス当てプロテクションを突破する;
指紋推測プロテクションを突破する;
 

ブラック・ディフェンス』から不変の永遠の名言を引用すると--攻撃と守備の対極の一体化に突破口を求めて。攻撃戦術と守備戦術の交換歓迎。