ビジネスサポートポータルアカウントでログイン
侵入防御ルール「1000128 - HTTP Protocol Decoding 」について  

侵入防御ルール「1000128 - HTTP Protocol Decoding 」について

    • 更新日:
    • 31 May 2018
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要

侵入防御ルール「1000128 - HTTP Protocol Decoding 」について教えてください。

詳細
Public

侵入防御ルール「1000128 - HTTP Protocol Decoding 」は主に2つの機能があります。

1.受信したHTTPリクエストに対して侵入防御ルールで検査するために必要な部分をデコードするロジック

2. URI正規化(つまり、適切なURIエンコーディングが使用されていることの確認、回避の試みの検出など)を実行しているときに使用するロジック

 

以下に本侵入防御ルールのオプションについて詳細を記載いたします。

 ■Normalize URI in body of HTTP POST method

本設定は初期設定で有効になっています。本設定により、URI正規化をHTTP POSTメソッドに適用するようになります。

 

■Assume POST BODY is URI Form Encoded when Content Type is missing

本設定は初期設定で有効になっています。本設定により、Content-Type HTTPヘッダがHTTP要求に含まれていない場合、HTTP POSTメソッドがエンコードされたURI形式(application / form-urlencoded)であると想定して処理します。

 

■Include Packet Data on URI Normalization errors

本設定は初期設定で有効になっています。本設定により、URI正規化によってイベントが生成されたときに、完全なパケットデータを記録するようになります。

たとえば、この設定を有効にしてHTTP要求で二重エンコーディングが検出された場合、Deep Securityは検出されたパケットは、侵入防御イベントに記録されます。

 本設定を有効にしておく際のデメリットは、完全なパケットデータを記録するためにデータベースを僅かながら(最大1500バイト)消費することです。

 

■Pages (resources) for which no URI Normalization is to be done for HTTP POST body (One per line)

本設定により、HTTP POST本体に対してURI正規化を行わなわないページを指定できます。

 

■Require Encoding

本設定は初期でUTF-8に設定されています。本設定では、Webサーバで使用されているエンコードタイプを選択できます。

選択できるのはLatin-1またはUTF-8です。

Incomplete UTF8 Sequence / UTF8シーケンスが不完全です」のイベントが表示される場合は、Latin-1に切り替える必要があります。

 

■Detect Double URI Encoding

本設定は初期設定で有効になっています。パーセントエンコーディングは、URI内の特定の文字をエンコードするために使用されます。

例えば'['は%5Bとしてエンコードされます。

一部のIDS / IPSデバイスでは、これらのパーセントエンコード文字を検出するシグネチャがあるため、攻撃者は文字をダブルエンコードすることで検出を回避するようになりました。

つまり、攻撃者は文字そのものに加えて、 '%'文字をパーセントでエンコードします。

前述の例をダブルエンコードすると、%255Bになります。

本設定が有効な場合、検出の回避を防ぐため、ダブルエンコードされたデータをブロックします。 一部のWebクライアントのブラウザとアプリケーションは、処理の中でダブルエンコードすることがあり、誤検出を引き起こすことがあります。 多数の 「Double Decoding Exploit / 二重デコードの攻撃コード」の侵入防御イベントが検出された場合、誤検出の可能性があります。

侵入防御イベントのデータ部分を調べて、検出を回避しようとしているのか、正常な通信なのかを確認する必要があります。正常な通信であることが確認できた場合は、本設定を無効にする必要があります。

 

 ■Detect Invalid Hexadecimal Encoding 

本設定は初期設定で有効になっています。パーセント符号化が使用されている場合は、パーセント記号の後ろに文字を表す2つの16進バイトが続きます。本設定を有効にすると、正しくエンコードされていないデータはブロックされます。

たとえば、検査対象のストリームで文字列%2xが検出された場合、'%'の直後2文字に16進数字ではない文字が使用されており、不正なデータでデコーダの処理にエラーを発生させる攻撃の可能性があるため、「Invalid Hex Encoding / 16進の暗号化が不正です」が生成されます。

 

■Webアプリケーションの保護のために侵入防御機能を使用しない場合 

​Deep SecurityをWebアプリケーション保護のためではなくWebサーバ保護のために使用する場合は、次のように設定変更することを推奨いたします。

1.Use URI Normalization in body of HTTP POST optionのチェックを外します。

2.Detect Double URI Encordingのチェックを外します。 

これらの変更を行うと、Webアプリケーション保護に関しての保護機能が弱まりますが、HTTPプロトコルは引き続き正しくデコードされるので、Webサーバに対する他の脆弱性ルールおよび他のエクスプロイトルールは正常に機能します。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1120027
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド