IPAがウェブサイトの脆弱性検出ツール iLogScannerというものをリリースしました。これは「ウェブサーバのアクセスログを解析して脆弱性検出を簡易に行うツール」と書いてあります。現在のところはSQLインジェクションと思われる攻撃の検出しかできないようですが、これから増えていくようです。今回はこのツールを使用して、自分が運営しているサイトについて診断しました。

iLogScannerのトップページへ行き概要を読みます。 解析対象のアクセスログ形式と動作環境は以下の通りでした。Javaの実行環境が必要なようです。ちなみに自分あはWinXP Professional SP2、IE6でやってみました。

アクセスログの形式

  • IIS5.0/6.0のW3C拡張ログファイルタイプ
  • Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ

動作環境

OS

Microsoft Windows XP Professional SP2

Webブラウザ

Internet Explorer 7

JRE

Sun Java Runtime Environment 5.0以上(JRE 5.0系を推奨)

※その他の環境でも動くようです(こちら)。 上記ページの中ほどに操作手順という項目があり、すぐしたの「次へ」ボタンを押すと、利用規約が出てくるので「規約に同意する」を押してアプリケーションのページへ行きます。 まず、アクセスログファイル入力画面が表示されるので、アクセスログの形式、ログファイル名、結果を出力するディレクトリを選びます。 今回はApacheのログファイルを使ったので以下のようになりました。 ilogscanner1.PNG 「解析開始」ボタンを押すと、以下のようなダイアログが表示されて解析が始まります。 ilogscanner2.PNG 解析が終了しました。 ilogscanner3.PNG 出力先ディレクトリで指定したディレクトリに拡張子がhtmlとlogの2つのファイルが作成されています。 htmlファイル(下図)には解析結果のレーポート概要が、logファイルには実際にSQLインジェクション攻撃をされたと思われるアクセスログが記録してありました。 ilogscanner4.PNG 分割されたいくつかのログについてやってみた結果、9件ほど攻撃された形跡があり、成功したと思われるものは0件でした。小規模のサイトで、だいたい一年くらいの運用です。 簡易ツールなのでこの結果に浮かれずにこれからも開発してゆきたいと思います。