環境条件を確認する

脆弱性が存在しない環境や、攻撃が成立しない条件を確認します。
次の条件の何れかに合致する場合は誤検知と思われます。条件に合致しないまたは、不明な場合は次の検知理由を確認するに進んでください。


誤検知の環境条件

・データベース(MariaDB、PostgreSQL、Oracle Database、SQL Serverなど)を利用していない。

・データベースを利用している場合でも、検出したURLまたはパラメータではSQLを利用していない。



検知理由を確認する


・検知理由1

壊れたSQL文を含むパラメータ値と正しいSQL文を含むパラメータ値を交互に送信したところ、レスポンスボディが大きく変化しました。


・誤検知の確認方法

この検知理由では、AeyeScanは複数回のスキャンを行い脆弱性が存在すると判断しました。
複数回送信するスキャンログのレスポンスは、大きく3つの種類があります。
オリジナル・・・検査パターンを送信しない正常なアクセス
オリジナルと類似するレスポンス・・・検査パターンを送信するが、正常なアクセス(オリジナル)と同じレスポンスを期待している結果
オリジナルと異なるレスポンス・・・検査パターンを送信し、正常なアクセス(オリジナル)とは異なるレスポンスを期待している結果
これから、AeyeScanの複数回のスキャンログを相互に比較し誤検知を確認します。


・オリジナルの確認

1:詳細ログのタブを開いてください
2:レスポンスを選択してください


 

・オリジナル・オリジナルと類似する/異なるレスポンスの確認

1:先頭の数字の小さい順に「オリジナル、オリジナルと類似する、オリジナルと異なる レスポンス」を選択してください


2:レスポンスのContent-Lengthの数値(例)50854 
 または
3:レスポンスの テキスト全体を確認してください。


・結果判定

オリジナルと、 オリジナルと類似する・異なるレスポンス を比較します。 



相互にレスポンスを比較し、次の条件1と条件2 両方に合致しない場合は誤検知です。(合致する場合は、正しい結果です) 



・条件1オリジナルとの類似
オリジナルのレスポンス(Content-Lenghtの値やテキスト)と、
オリジナルと類似するレスポンスの、Content-Lenghtの数値が近い 又はテキストが似ている。

・条件2オリジナルとの相違
オリジナルのレスポンス(Content-Lenghtの値やテキスト)や、オリジナルと類似するレスポンスと、
オリジナルと異なるレスポンスの、Content-Lenghtの数値が異なる 又はテキストが異なる。

(条件1,2に合致するContent-Lenghtの例)
1(オリジナル)→Content-Lenghtの値が50854
5(検査パターン送信)(オリジナルと類似するレスポンス)→Content-Lenghtの値が50844
6(検査パターン送信)(オリジナルと異なるレスポンス) →Content-Lenghtの値が35538
7(検査パターン送信)(オリジナルと類似するレスポンス)→Content-Lenghtの値が50853
8(検査パターン送信)(オリジナルと異なるレスポンス) →Content-Lenghtの値が35541
9(検査パターン送信)(オリジナルと類似するレスポンス)→Content-Lenghtの値が50830

(条件1,2に合致するテキストの例)
1(オリジナル)→検索結果が10件
5(検査パターン送信)(オリジナルと類似するレスポンス)→検索結果が10件
6(検査パターン送信)(オリジナルと異なるレスポンス) →検索結果が0件
7(検査パターン送信)(オリジナルと類似するレスポンス)→検索結果が10件
8(検査パターン送信)(オリジナルと異なるレスポンス) →検索結果が0件
9(検査パターン送信)(オリジナルと類似するレスポンス)→検索結果が10件