毎月行っているiLogScannerの解析を今月も早速行ってみました。

解析には２時間くらいかかりました。今月も相変わらず攻撃されているようです。

結果、先月よりSQLインジェクションが減ってディレクトリトラバーサルが増えています。

もう結果には慣れてきてしまって「どきっ」とすることが無くなってきてしまいました。

iLogScannerが、先月機能強化されたと知っていましたが、まだ試していなかったので今回でどれくらい変わったのか見る事ができました。解析スピードは機能強化が原因でしょうか、かなり遅くなったようです。と、書きながら解析していますが、かなり時間かかるようなので放置するくらいの方が良さそうです。

進捗のバーからすると現在５％位が完了したところでしょうか、ディレクトリトラバーサルに３件となっています。以前のiLogScannerには無かった項目ですよね。他にもOSコマンドインジェクション、クロスサイトスクリプティングなどSQLインジェクション以外に増えているようです。

今回は、起動当初他のJavaアプリとの干渉なのか、起動できませんでしたがその、たぶん該当するであろうアプリを終了させた後に起動すれば問題なく起動できました。

でも、これを書きかけてから早１時間以上経過していますがまだ解析が終わりません。先月は、アクセス数がかなり伸びたのも原因でしょうか。さて、また筆（筆ってか）を置いて・・・。

Joomla!のエクステンションで$_SERVER['REQUEST_URI']をそのまま使っているエクステンションを見かけたので問い合わせから連絡しておいた。私も恥ずかしいこといっぱいしているのでお構いなしです。

なぜ、そのまま使ってはいけないのかは「REQUEST_URI クロスサイトスクリプティング」ででも検索したら出てくるので書きませんが、mod_QRcodeを作成時に自動でURLを作成できるようにしようと思ったのですが、断念した覚えがあります。Joomla!1.5では使えそうなメソッドが用意されていますが、1.0.xでは自分が開いているサイトのURIを知ることは非常に難しいです。（もちろん、スクリプト付きでも良いなら別ですよ。）Joomla!標準のエクステンションだけならやりようもあるでしょうが、サードパーティーのエクステンションをもカバーしようと思うとはっきり言って至難の業です。$_SERVER['REQUEST_URI']ってユーザーがリクエストしたそのままが得られるだけなのでスクリプトがくっついていようが、SQLインジェクションをねらったクエリが付いていようがおかまいなしです。

簡単な例：Joomla!1.5で例えば下記のようなURLが正しいURLとすると

http://demo.joomler.net/the-news/1-latest-news/86-example-go.html

以下だとどうでしょう・・・

http://demo.joomler.net/the-news/1-latest-news/9999999999999999999/86-example-go.html

のように異なるURLでも同じページにアクセスできてしまいます。この場合はクエリの間に数字を入れただけですが、このように正しいURLでは無くても該当ページにアクセスできます。

なので、そのREQUEST_URIを使ってブックマークなんてとんでもないですよね。

サニタイズしてクリーニングすればと思うかもしれない。でもそれが本当に、そのサイトの管理者が意図するJoomla!の正しいURIってわかりますか？（もちろん使っているエクステンションが限定されていればそれ相応にサニタイズできると思います。)

Joomla!1.5で用意されているメソッドを使っても上記の例のような場合はそのまま出力されてしまいます。

結果、mod_QRcodeでは、モジュールのコピーを可能にして個々にURLの指定をするようにしましたので外部のリクエストに左右されません。

私も気をつけようっと・・・。

以前にご紹介したHttpLoggerに脆弱性が存在するそうです。

HttpLogger におけるクロスサイトスクリプティングの脆弱性

ご紹介しながら、自身の環境再構築時にインストールしていませんでしたが、インストールされている方は、最新版がリリースされていますので更新してください。