web-dev-qa-db-ja.com

悪意のある可能性のあるWebサイトを安全に検査するにはどうすればよいですか?

悪意のあるWebサイトの背後にあるものに興味がある場合があります。検査することにした場合、どのようにして安全側にとどまりますか?仮想マシンでWebサイトを実行するよりも速くて簡単な方法を探しています。

CURLを使用してHTMLソースをファイルビューアで表示する必要がありますか? view-source:http://malicious-website/を使用してブラウザでソースを表示するだけですか?それらは安全ですか?

45
Mirsad

なぜVirustotalにURLを送信しないのですか?悪意のあるWebサイトへのアクセスは注意が必要です。 curl、wget、links -dumpの使用は、悪意のあるコンテンツがどのように提供されるかに応じて、扱いにくい場合があります。例えば:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_USER_AGENT} 
 RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|libwww\-Perl|curl|wget).* [NC]
 RewriteRule ^(.*)$ - [F,L]
</IfModule>

Mod_rewriteを使用して、悪意のないページをフィードできます。私はあなたを他の場所に送ることができます、私が好きなことは何でもしてください。さらに、ペイロードを変更することもできます。たとえば、悪意のあるものをフィードする代わりに、悪意のない「Hello World」JavaScriptに変更するだけです。これにより、私の悪意のあるWebサイトは無害であると思わせられる可能性があります。

通常、悪意のあるWebサイトにアクセスする必要がある場合、傍受のためにburpsuiteを実行する仮想化されたサンドボックス、Squidプロキシサーバー、およびその他のいくつかのツール(noscript、ghosteryなど)があります。好奇心の外を訪れる究極の目的は何ですか?

34
munkeyoto

悪意のあるサイトにアクセスすることは、彼らが管理するソフトウェアと話しているため、多くの場合、ヒットまたはミスです。何をしようとも、それを実際に制御することはできません。それは長い間悪意のないように見え、次にあなたを襲う可能性があります。あなたがそれを訪問するとすぐに、それはあなたを襲うことを試みることができます。出来た...

サイトが悪意のあるものになる可能性があるという文字通り無限の可能性があるので、本当に確信することはできません。あなたができることは、ある種のバーナー機器を使用し、探索し、それでもサイトを信頼しないことです。ずっと。どんなサイトでも。使用するプロトコルに関係なく危険なのは、最終的には何らかの方法でサーバーにアクセスすることです。 OSIモデルのすべてのレベルのペイロードに自分自身を開きます。まだ開いている接続であるオプションヘッダーを表示したいだけの場合。これは本当に問題です22。


ウェブは信頼のレベルです。私を安全に保つとあなたを信じます。念のため、私はまだウイルス対策ソフトウェアを実行し、他の人に最初に訪問してもらいます。彼らが十分に安全にいるなら、私はあなたを訪ねるでしょう。

そして、それらがハッキングされる可能性があります。その後、あなたの信頼は破られます。


さらに悪いことに、コードを検査しようとしています。確かにあなたはコピーを手に入れますが、何のコピーですか?サイトができる限り悪意のないものであるように見えるのが最善の方法です。多くの場合、タイムソースは、ほとんどのテストを通過するような、フラグが立てられていないオフサイトの場所にペイロードをダウンロードするまで、完全に無害です。したがって、あなたはすべての単一のリンクとソースファイルを探し、それらを読み進めるか、それらを分析するのに行き詰まっています。

TL; DR:

サイトを完全に信頼することはできません。Googleでさえも信頼できません。サイトの実際の悪意のある部分は、サイトのどこにでも何でも置くことができます。確かにソースを安全に検査できますが、得られるのは誤った安心感だけです。

絶対にこれを行う必要がある場合は、バーナーマシンを使用するか、VM感染した瞬間に破壊することができます。ペイロードはどこにでもある可能性があります(HTMLファイル、サイト外のJS/CSS/Vector/app/image/CSV/JSON/file ...)。レピュテーションに基づいてサイトを信頼できない場合、サイトをまったく信頼できない

14
Robert Mennell

一部のサイトには隠しコードが含まれているため、ソースコードを分析してWebサイトを検査することは困難です。評判ベースの分析を試してみてください。

ブラウザにアドオンを追加して、クリックする前にサイトを分析できます。その例は、プラグイン(信頼の網)であるwotです。 https://www.mywot.com/

また、無料のURLスキャナーにURLを送信することもできます。例は http://zulu.zscaler.com/ です。これにより、Webサイト自体が検査されます。これはリスク分析ツールです。

あなたも試すことができます http://urlquery.net/index.php

最も一般的な評判ベースの分析サイトは http://www.urlvoid.com/ および https://www.virustotal.com/ です。

3
vulnerableuser

他の人たちは、URLを取得するだけでホストに重要な情報を提供できると述べました。通常、情報はあなたが電子メールを読んだことです。

そうは言っても、Webページを安全に検査するための1つのオプションは、不快でも複雑でもないので、lynxのようなテキストベースのブラウザーでURLを開くことです(Windowsではおそらくcygwin環境)。 LynxはJavaScriptを処理せず、画像やその他の非テキストコンテンツをすぐに表示しません。これにより、メインストリームプラットフォームをターゲットとするほとんどの攻撃に対して無敵になります(ただし、コメントを歓迎します)。

私は@Robert Mennellの答えが好きですが、サイトが実行されているものを確認する方法が1つあり、それはディスクをヤンクして別のマシンで検査することです。そうすれば、OSが嘘をついているルートキットの影響を受ける可能性が低くなります。もちろん、ドライブのファームウェアはあなたに嘘をついているかもしれませんが、それはかなり特殊なルートキットです。

0
Adam Shostack