説明
Webコンテンツへのアドミタンスを適切に制御することは、安全なWebワーカーを実行するために重要です。インデックスクロッシングまたはパストラバーサルはHTTP攻撃であり、攻撃者が限定されたカタログにアクセスして、Webワーカーのルートレジストリの外部で注文を実行できるようにします。
Webワーカーは、2つの主要なセキュリティ手段を提供します
*アクセス制御リスト（ACL）
*ルートインデックス
アクセス制御リストは、承認サイクルで使用されます。これは、Webワーカーのマネージャーが、他のアクセス権と同様に、ワーカーの特定のレコードにアクセス、変更、または実行できるクライアントまたはギャザリングを示すために使用する要約です。
ルートレジストリは、クライアントが保持されているワーカーレコードフレームワークの特定のインデックスです。クライアントは、このルートを介して何にもアクセスできません。
たとえば、Windows上のIISのデフォルトのルートレジストリはC：\ Inetpub \ wwwrootであり、この配置では、クライアントはC：\ Windowsにアプローチしませんが、C：\ Inetpub \ wwwroot\newsおよびその他のインデックスとドキュメントにアプローチします。ルートカタログ（クライアントがACLによって確認されている場合）。
ルートインデックスは、クライアントがワーカー上のドキュメントにアクセスできないようにします。たとえば、WindowsステージではC：\ WINDOWS / system32 / win.ini、Linux/UNIXステージでは/など/passwdレコードです。
この弱点は、Webワーカープログラミング自体またはWebアプリケーションコードのいずれかに存在する可能性があります。
レジストリ交差攻撃を実行するために必要なのは、インターネットブラウザと、フレームワーク上のデフォルトのドキュメントとレジストリを意図せずに発見する場所に関する情報だけです。
サイトが無防備である場合に加害者ができることインデックスの交差に対して無防備なフレームワークを使用すると、攻撃者はこの弱点を利用してルートカタログから抜け出し、レコードフレームワークのさまざまな部分にアクセスできます。これにより、加害者は制限されたドキュメントを見ることができ、フレームワークからの追加のトレードオフに必要なより多くのデータを攻撃者に与える可能性があります。
サイトアクセスがどのように設定されているかを条件として、攻撃者は「サイト」に関連するクライアントとして自分自身を模倣することによって注文を実行します。これらの線に沿って、すべてはサイトクライアントがフレームワークでアドミタンスを提供されたものに依存しています。
Webアプリケーションコードによるディレクトリトラバーサル攻撃の図動的ページを使用するWebアプリケーションでは、入力は通常、GETまたはPOSTの要請技術を介してプログラムから取得されます。これは、HTTPGETデマンドURLGETの図です。
http://test.webarticles.com/show.asp?view=oldarchive.html HTTP / 1.1
ホスト：test.webarticles.com
このURLを使用して、ブラウザーはサーバーに動的ページshow.aspを要求し、それを使用して、oldarchive.htmlの値を使用してパラメータービューも送信します。このリクエストがウェブサーバーで実行されると、show.aspはサーバーのファイルシステムからファイルoldarchive.htmlを取得してレンダリングし、ブラウザに送り返してユーザーに表示します。攻撃者は、show.aspがファイルシステムからファイルを取得し、次のカスタムURLを送信できると想定します。
得る
http://test.webarticles.com
/show.asp?view=../../../../../Windows/system.ini HTTP / 1.1
ホスト：test.webarticles.com
これにより、動的ページはファイルシステムからファイルsystem.iniを取得し、ユーザーに表示します。
式../は、オペレーティングシステムディレクティブとして一般的に使用される1つのディレクトリを上に移動するようにシステムに指示します。攻撃者は、システム上のWindowsフォルダを見つけるためにいくつのディレクトリに移動する必要があるかを推測する必要がありますが、これは試行錯誤によって簡単に実行できます。
Webサーバーを介したディレクトリトラバーサル攻撃の例コードの脆弱性は別として、Webサーバー自体でさえディレクトリトラバーサル攻撃にさらされる可能性があります。この問題は、Webサーバーソフトウェアに組み込むことも、サーバーで利用可能なままになっているサンプルスクリプトファイルの中に組み込むこともできます。
この脆弱性は最新バージョンのWebサーバーソフトウェアで修正されていますが、ディレクトリトラバーサル攻撃にさらされている可能性のある古いバージョンのIISとApacheをまだ使用しているWebサーバーがオンラインにあります。この脆弱性を修正したWebサーバーソフトウェアバージョンを使用している場合でも、ハッカーによく知られている機密性の高いデフォルトのスクリプトディレクトリが公開されている可能性があります。
たとえば、IISのscriptsディレクトリを使用してディレクトリをトラバースし、コマンドを実行するURL要求はGETになります。
http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ HTTP / 1.1ホスト：server.comリクエストはユーザーにリストを返しますcmd.exeコマンドシェルファイルを実行してC：\ディレクトリ内のすべてのファイルを検索し、シェルでコマンドdir c：\を実行します。URLリクエストに含まれる％5c式は、通常の文字を表すために使用されるWebサーバーのエスケープコードです。この場合、％5cは文字\を表します。
最新のWebサーバーソフトウェアの新しいバージョンは、これらのエスケープコードをチェックし、通過させません。
ただし、一部の古いバージョンでは、ルートディレクトリエンフォーサでこれらのコードが除外されず、攻撃者がそのようなコマンドを実行できるようになります。

最も一般的なNmapの使用シナリオの1つは、イーサネットLANのスキャンです。ほとんどのLAN、特にRFC 1918によって付与されたプライベートアドレス範囲を使用するLANは、圧倒的多数のIPアドレスを常に使用するとは限りません。NmapがICMPエコー要求などの生のIPパケットを送信しようとする場合、イーサネットフレームを適切にアドレス指定できるように、OSはターゲットIPなどの宛先ハードウェア（ARP）アドレスを決定する必要があります。..これは一連のARP要求を発行するために必要です。これは、エリアイーサネットホストに対してpingスキャンが試行される例で最もよく示されています。-send-ipオプションは、エリアネットワーク上でも（生のイーサネットではなく）IPレベルのパケットを送信するようにNmapに指示します。3つのARP要求のWireshark出力とそれらのタイミングがセッションに貼り付けられました。
オフラインターゲットの生のIPpingスキャンの例
この例は、（Linux）OSがホストを放棄する前に1秒間隔で3つのARP要求を送信したため、完了するまでにかなりの数秒かかりました。ARP応答が通常数ミリ秒以内に到着する限り、数秒待つことは過度です。パケットの圧倒的多数が実際に存在するホストに送信されるため、このタイムアウト期間を短縮することはOSベンダーにとって優先事項ではありません。一方、Nmapは、10.0.0.0 / 8のようなターゲットが与えられた場合、1600万のIPにパケットを送信する必要があります。多くのターゲットが並行してpingされますが、それぞれ2秒待機するのは非常に遅れます。
LAN上の生のIPpingスキャンには別の問題があります。前の例のように、宛先ホストが応答しないことが判明した場合、送信元ホストは通常​​、その宛先IPの不完全なエントリをカーネルARPテーブルに追加します。ARPテーブルスペースは有限であり、一部のオペレーティングシステムはいっぱいになると応答しなくなります。NmapがrawIPモード（-send-ip）で使用されている場合、Nmapは、ホスト検出を続行する前に、ARPキャッシュエントリの有効期限が切れるまで数分待たなければならない場合があります。
ARPスキャンは、Nmapに最高の優先順位を与えることにより、両方の問題を解決します。Nmapは、生のARP要求を発行し、独自の裁量で再送信とタイムアウト期間を処理します。システムARPキャッシュはバイパスされます。例は違いを示しています。このARPスキャンは、同等のIPにかかる時間の10分の1強かかります。
例bオフラインターゲットのARPpingスキャン

例bでは、-PRオプションも-send-ethオプションも効果がありません。これは多くの場合、Nmapが検出したイーサネットホストをスキャンするときに、ARPがエリアイーサネットネットワーク上でデフォルトのスキャンタイプを持っているためです。これには、802.11ワイヤレスネットワークとしての従来の有線イーサネットが含まれます。上記のように、ARPスキャンはより効率的であるだけでなく、より正確でもあります。ホストはIPベースのpingパケットを頻繁にブロックしますが、通常はARP要求または応答をブロックしてネットワーク経由で通信することはできません。異なるpingタイプ（-PEや-PSなど）が指定されている場合でも、Nmapは同等のターゲット上のすべてのターゲットの代わりにARPを使用します。 。LAN .. ARPスキャンをまったく試行する必要がない場合は、例「オフラインターゲットのRawIPPingスキャン」に示すように-send-ipを指定します。
生のイーサネットフレームを送信するようにNmapに制御を与えると、Nmapは送信元MACアドレスも調整できます。セキュリティ会議室に唯一のPowerBookがあり、Appleが登録したMACアドレスから大規模なARPスキャンが開始された場合、頭があなたの方を向く可能性があります。「MACアドレススプーフィング」セクションの説明に従って、-spoof-macオプションを使用してMACアドレスをスプーフィングします。

OpsviewでSNMPv2トラップ処理を設定するためのさまざまな記事がすでにドキュメントにありますが、SNMPv3トラップはまったく新しいボールゲームです。これらは、最初にプロセスを実行するときに設定するのが非常に混乱し、複雑になる可能性がありますが、何が起こっているのかを理解すると、すべてがより理にかなっているはずです。
SNMPは、パフォーマンスとセキュリティを向上させるためにいくつかの改訂を行いました（バージョン1、2c、および3）。デフォルトでは、これはUDPポートベースのプロトコルであり、通信は「ファイアアンドフォーゲット」方式に基づいており、ネットワークパケットは別のデバイスに送信されますが、そのパケットの受信はチェックされません（ネットワークパケットの場合はTCPポートとは異なります）。通信リンクのもう一方の端で確認応答する必要があります）。
SNMPの操作には2つのモードがあります。1つのデバイスがSNMP対応デバイスから定期的に（通常はUDPポート161を使用して）情報を要求するgetrequests（またはポーリング）と、SNMP対応デバイスが別のデバイスにメッセージを送信するトラップです。イベントが発生したとき（通常はUDPポート162を使用）。後者には、誰かがログオンしたり、デバイスの電源がオンまたはオフになったり、このタイプの調査が必要になるその他のさまざまな問題が含まれます。
ポーリングとバージョン2cトラップはドキュメントの他の場所でカバーされているため、このブログではSNMPv3トラップについて説明しています。
SNMPトラップ
SNMPは主にUDPポートベースのシステムであるため、デバイス間で送信するときにトラップが「失われる」可能性があります。送信側デバイスは、受信側がトラップを取得したかどうかを確認するために待機しません。これは、送信側デバイスの構成が間違っている場合（間違った受信者のIPアドレスまたはポートを使用している場合）、または受信者がトラップをリッスンしていないか、構成の誤りが原因でトラップを手に負えない状態で拒否している場合、送信者はそれを知ることができません。
SNMP v2c仕様では、トラップを2つのタイプに分割するという考え方が導入されました。元の「そこに到達することを願っています」トラップと新しい「INFORM」トラップ。INFORMを受信すると、受信者は確認応答を返送する必要があります。送信者が確認応答を返さない場合は、既存の問題があることを認識し、システム管理者がデバイスに問い合わせるタイミングを見つけるためにログに記録できます。