ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

CSRFについてまとめてみた

ウェブサイトに仕掛けられる攻撃手法で代表的なCSRFクロスサイトリクエストフォージェリ)についてまとめます。

 

CSRFとは?

攻撃者が用意した悪意のあるサイトにアクセスしてしまうことでスクリプト付きのWebページをダウンロードしてしまい、スクリプトが自動実行され、他のサイトにアクションを起こされる攻撃です。

よく他のサイトにアクションというのは、SNSAmazonなどのECサイトの不正にログインをされて、アカウントを乗っ取る行為が多いです。

攻撃名を訳すと

CrossSite:サイトをまたいだ

Request:要求の

Forgeries:偽装

悪意のあるサイトからユーザの利用しているSNSなどにサイトをまたいで、本人を偽ったログインの要求をして不正アクセスをする手法であるためこのような名前がつけられています。

 

攻撃手順

  1. 攻撃者がWebサイトに罠を仕掛ける
  2. ユーザが罠を仕掛けられたサイトを見る(SNSログイン済みの状態)
  3. ユーザがリンク入りページを表示し、リンクをクリック
  4. WebサイトからSNSのサイトに移り、ユーザ要求を偽って悪意のあるリクエストを送る
  5. 意図しない操作をされてしまう。

 

対策

開発の対策

Cookieとは別のトークンを利用

リファラの検証

CAPTHAの利用

リファラの検証をする

CookieにSameSite属性を指定する

 

ユーザの対策

不用意にログインしたままにしない。

怪しいサイトにはいかない。

 

 

月間ハニーレポート2024年2月号

ハニーレポート2024年2月のアクセス記録を公開します。

 

デイリーアクセス

ymd

count

2024-01-31

25

2024-02-01

192

2024-02-02

283

2024-02-03

120

2024-02-04

177

2024-02-05

271

2024-02-06

86

2024-02-07

35

2024-02-08

49

2024-02-09

46

2024-02-10

212

2024-02-11

71

2024-02-12

274

2024-02-13

69

2024-02-14

105

2024-02-15

113

2024-02-16

109

2024-02-17

147

2024-02-18

124

2024-02-19

98

2024-02-20

109

2024-02-21

58

2024-02-22

98

2024-02-23

173

2024-02-24

215

2024-02-25

255

2024-02-26

80

2024-02-27

827

2024-02-28

52

2024-02-29

12

 

IPアドレス

from_ip_address

count

209.126.80.243

707

154.27.68.195

441

138.68.224.69

222

51.15.17.105

212

192.30.243.94

160

219.134.218.250

131

41.111.188.36

128

188.78.242.233

128

179.43.168.99

121

146.19.24.28

116

 

ステータスコード

status_code

count

200

3662

401

823

HTTPメソッド別

res

count

GET

4105

POST

327

CONNECT

24

HEAD

23

OPTIONS

4

Ix¿óÂ3RÃ`°Ãó

1

AéÃÂaGõé`°ÂÃ

1



 

 

 

国別アクセス

 

country

count

United States

1938

Netherlands

299

France

292

China

269

Russia

213

Poland

192

Switzerland

150

Spain

131

Algeria

128

Germany

121



参考文献

 

 

 

 

 

GDPRについてまとめてみた

セキュリティとデータは切り離せません。

システム開発アプリ開発などで触れる人がいるかもしれないGDPRについて簡単にまとめてみた。

 

GDPRとは?

General Data Protection Regulation、日本語にするとEU一般データ保護規則と呼ばれます。

EU域内の居住者の個人情報保護を目的に施行。

もともとEUデータ保護指令がありましたが、加盟国ごと内容が異なっていたこともあり一本化されました。

 

施工年

2018年

 

対象

EEA(欧州経済領域内)で取得した個人情報です。

住んでいる人だけでなく、短期出張や短期旅行を含みますので、EU圏への出張が多い人も対象となるところは注意です。
EEA域内のビジネスも対象です。

 

規制内容

EEA外に個人情報の持ち出しを禁止。

情報漏洩があった時72時間以内に監督当局と情報主体に通知義務。

罰則が厳しく、罰金が高い。

加盟国数

27カ国(2023年9月現在)

EFTA+アイスランドノルウェーリヒテンシュタイン

※スイスを除く

 

 

 

 

月間ハニーレポート2024年1月号

ハニーレポート2024年1月のアクセス記録を公開します。

 

デイリーアクセス

ymd

count

2023-12-31

20

2024-01-01

104

2024-01-02

84

2024-01-03

99

2024-01-04

77

2024-01-05

79

2024-01-06

76

2024-01-07

84

2024-01-08

81

2024-01-09

74

2024-01-10

76

2024-01-11

108

2024-01-12

1459

2024-01-13

179

2024-01-14

95

2024-01-15

228

2024-01-16

101

2024-01-17

105

2024-01-18

67

2024-01-19

236

2024-01-20

207

2024-01-21

73

2024-01-22

64

2024-01-23

79

2024-01-24

45

2024-01-25

57

2024-01-26

80

2024-01-27

60

2024-01-28

110

2024-01-29

98

2024-01-30

85

2024-01-31

44

IPアドレス

from_ip_address

count

85.204.70.112

764

141.98.11.107

633

146.19.24.23

168

192.9.231.225

159

109.116.148.33

128

43.139.241.127

128

47.98.221.20

123

78.153.140.30

82

179.43.163.210

75

78.153.140.37

74



 

ステータスコード

status_code

count

200

4407

401

27

 

 

HTTPメソッド別

res

count

GET

3927

POST

427

HEAD

48

CONNECT

31

OPTIONS

1

 

 

国別アクセス

country

count

United States

971

France

833

Lithuania

654

China

359

Russia

342

Poland

173

Italy

132

Switzerland

131

Netherlands

121

Germany

110



参考文献

 

 

 

 

 

12月ログ分析 気になるあいつ(IPアドレス)を調べていく! page2

 

12月のIPアドレス別アクセス数の中で多いアクセスを行ってきたIPアドレスを調べていきます。

 

honey-pot-report.hatenablog.com

12月のアクセスはこちら。

アクセス数 | IPアドレス

---------------------------------

685             | 61.244.206.142

684             | 210.204.31.167

221              | 138.68.224.69

221              | 128.199.137.235

178              | 195.140.227.163

147              | 162.222.204.54

128              | 113.197.109.29

104              | 78.153.140.30

102              | 78.153.140.37

  52              | 83.97.73.87

本日は12月684回とトップのアクセス数と1アクセスの差しかないほどアクセスをしてきた210.204.31.167IPアドレスを調べます。

それではログを見ていきましょう。

ログのアクセスはこちら。

   5 http://***.***.***.***/phpMyAdmin/

   4 http://***.***.***.***/phpMyAdmin-5.2.1-all-languages/

   4 http://***.***.***.***/phpMyAdmin-4.9.11-all-languages/

   3 http://***.***.***.***/pma/

   3 http://***.***.***.***/phpmyadmin/

   3 http://***.***.***.***/phpmyAdmin/

   3 http://***.***.***.***/phpmanager/

   3 http://***.***.***.***/phpMyAdmin-5.2.1-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-source/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-english/

   3 http://***.***.***.***/phpMyAdmin-5.2+snapshot-all-languages/

   3 http://***.***.***.***/phpMyAdmin-4.9.11-english/

   2 http://***.***.***.***/sqlmanager/

   2 http://***.***.***.***/sql/websql/

   2 http://***.***.***.***/sql/webdb/

   2 http://***.***.***.***/sql/webadmin/

   2 http://***.***.***.***/sql/sqlweb/

   2 http://***.***.***.***/sql/sqladmin/

   2 http://***.***.***.***/sql/sql/

   2 http://***.***.***.***/sql/sql-admin/

   2 http://***.***.***.***/sql/phpmyadmin4/

   2 http://***.***.***.***/sql/phpmyadmin3/

   2 http://***.***.***.***/sql/phpmyadmin2/

   2 http://***.***.***.***/sql/phpmy-admin/

   2 http://***.***.***.***/sql/phpmanager/

   2 http://***.***.***.***/sql/phpMyAdmin4/

   2 http://***.***.***.***/sql/phpMyAdmin3/

   2 http://***.***.***.***/sql/phpMyAdmin2/

   2 http://***.***.***.***/sql/phpMyAdmin/

   2 http://***.***.***.***/sql/php-myadmin/

   2 http://***.***.***.***/sql/myadmin/

※上記はろぐの一部です。

これもまたphpMyAdminPHPMySQLへの管理者ページへのアクセスを試みるアタックが多いです。

お前もかぁ〜!!!!

 

このIPアドレスのアタックの特徴は、

phpMyAdmin-5.2+snapshot-source

と、スナップショットへのアクセスがあります。

テスト、開発中のコードへのアクセスをしています。

ウェブのソースコードを盗み取るなどしていそうですね。

 

ちなみにこのIPアドレスは韓国からのアクセスになります。

IPアドレス調査を調べると住所が出てきます。

address:

このアドレスを見てみるとここです。

韓国の南の方ですね。

ソウルからだいぶ離れています。

場所はどうやら企業を指しています。

周りも街中で近くに運動場もあります。

 

ログ分析では、自身で運営しているハニーボットのアクセスログを分析してレポートしていきます。