水無月ばけらのえび日記

PCからアクセスできるサイトに限りますが、ツール作ってみました：

http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

>PCからアクセスできるサイトに限りますが、ツール作ってみました：

>http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

http://takagi-hiromitsu.jp/diary/20100221.html#p01

ばけらさん、補足ありがとうございます。

ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

えむけいさん、そのとおりですよ？

太田さんが、元記事に、「確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、……ただし、これらの方法はPCからアクセスできる場合にしか使えません。」と書かれており、この前者を実現するツールです。

また、http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi において、「DNSリバインディング問題を確認するツール」だとは全く書いていません。Host:ヘッダの利用状況を見るためのツールです。

>これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

　それはそのとおりなのですが、「ログインが必要なページだけIPアドレス制限している」というサイトも多いと思います。その場合、/ がログイン不要なページであれば、このツールで調査できるはずです。

　全てのサイトで使えるかと言われると微妙ですが、役に立つ場合もあるのではないかと思います。

# もっとも、ログイン必要なページでだけ Host: の扱いが違うという可能性が否定できないという罠が無くもないかも。普通は無いと思いますが……。

>ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

　すみません、弊社でApacheの設定をしていた事例ではないので、詳しくは分からないのです……。

# mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

　何か分かったらお知らせしようと思います。

># mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

あぁ、mod_rewriteがらみですか。了解です。

ありがとうございました。