【CORS・SOP編】ブラウザの境界線を突破する手口と守り方|CTF思考フレームワーク #10
安全に生きたい編集部
安全に生きたい
【Webサーバ指紋編】技術スタックを当てて攻撃面を絞り込む|CTF思考フレームワーク R03
安全に生きたい編集部
サーバーの『指紋』って何?技術スタックを当てるの?🔍
そうです。HTTPヘッダー、JavaScript ファイル名、CSS、Cookie、エラーページ――サーバーが返すあらゆる『癖』から、Apache か Nginx か、Wordpress か Drupal か、AWSかGCPか、を特定。次のステップの攻撃を最適化できます。
Webサーバ指紋(Fingerprinting)は、HTTP レスポンス・JavaScript・CSS・Cookie・エラーページから、サーバーソフトウェア・フレームワーク・CMS・クラウド基盤を特定する技術。Wappalyzer・WhatWeb・httpx の組み合わせで、対象の技術スタックを精密に把握できます。
広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。
サーバーの正体が、こんなに細かく分かるんだ…
この記事は、CTF思考フレームワーク Recon編 R03。Webサーバ指紋の取り方(Wappalyzer・WhatWeb・httpx・Shodan)と、自社サーバーから漏れる情報、不必要な指紋情報の隠し方を整理します。
Webサーバの「指紋」を取るのは、攻撃者にとって地味だけど超重要な工程。「このサイトはWordPress」「Reactフロント+Express API」「Apache 2.4 on Ubuntu」みたいに技術スタックが特定できれば、その技術固有の脆弱性ピンポイント攻撃に持ち込めます🔍
「使ってる技術」を当てるだけで、CVEデータベースが攻撃手順書になります。
この記事で出てくる言葉
先に意味を押さえておくと読みやすい用語です。
- CTF: セキュリティの練習問題を解く競技。必ず許可された環境だけで試します。
- 横展開: 侵入後に別の端末やサーバーへ移動して被害範囲を広げる動きです。
この記事の難易度
難易度:★☆☆(初級) / この枝ルートの記事は、必要な回だけ選んで読めます。
Contents
👀 観察フェーズ:まず何を見る?
Cookie名は技術判別の宝庫。PHPSESSID→PHP、JSESSIONID→Java、connect.sid→Express、laravel_session→Laravel、sessionid→Django…と一発で分かります。
🤔 仮説フェーズ:攻撃者は何を考える?
攻撃者が立てる仮説は「サーバは消したつもりでも、必ずどこかから技術スタックを喋っている」というものです。Server ヘッダや X-Powered-By を消しても、Set-Cookie の名前(PHPSESSID・JSESSIONID・laravel_session)、404ページのフォントや文言、favicon のバイナリハッシュ、CSPヘッダのドメイン構成――どれか1つは必ず残ります。スタックが特定できれば、Apache 2.4.49 の Path Traversal や WordPress プラグインの既知 RCE のように、CVEデータベースがそのまま攻撃手順書に変わる――攻撃者にとって指紋取りは「労力対効果が最も高い偵察」と位置づけられます。
Webサーバは「黙ってると思わぬところから喋る」タイプ。指紋取りの精度はこの地道な観察で決まります。
🔬 検証フェーズ:どうやって確かめる?
検証はブラウザのWappalyzer拡張で大枠の技術スタックを掴むところから始め、curl -I でHTTPヘッダ、whatweb で詳細指紋、httpx -title -tech-detect で大量ホストを一括処理、という流れで精度を上げていきます。HTML の generator メタタグ、/robots.txt、/sitemap.xml、/.well-known/security.txt、ソースマップ(.js.map)の有無もチェックポイント。favicon を MurmurHash3 でハッシュ化し Shodan の http.favicon.hash で検索すれば、同じテンプレートを使う系列サーバを世界中から横展開で発見できます。最終的に nuclei のCVEテンプレートで既知脆弱性まで紐づけるのが指紋取りの完成形です。
⚔️ 攻撃フェーズ:実際の手口
実戦では、たとえば指紋から WordPress 5.x + 特定プラグインが判明したら、wpscan で既知の Authenticated/Unauthenticated RCE を一発照合。Express アプリで .map ファイルが残っていれば、難読化されたフロントエンドのソースが復元され、APIエンドポイントや内部URL構造が丸見えになります。Apache の Server: Apache/2.4.49 (Unix) のような細かいバージョンが取れた瞬間、CVE-2021-41773 のようなパストラバーサルを試す価値が出てくる――攻撃者は「指紋→CVE→PoC実行」の3ステップを数分で回します。学習者としては、この速さを知ることが防御側のパッチ運用の優先度感覚に直結します。
CTF{fingerprint_then_lookup_known_cves}指紋取り→CVE照合は攻撃者の基本動作。組織側は「バージョンを隠す」より「最新を保つ」のが本筋です。
🛡️ 防御フェーズ:どう守る?
守る側の本筋は「バージョンを隠す」ではなく「常に最新を保つ」こと。とはいえ指紋情報を必要以上に晒さない工夫も有効で、Server / X-Powered-By / X-AspNet-Version をリバースプロキシで一括削除し、generator メタタグや WordPress の /readme.html を削除します。デプロイパイプラインでは .git / .map / .env が web ルート配下に出ないことを CI で検査。/admin、/wp-admin/、/phpmyadmin のような定番パスは WAF ルールで監視・アラート対象に。favicon は組織共通のものを使い回さず、サービスごとに分離するだけで Shodan 経由の横展開発見を遅らせられます。
🧪 自分で検証ラボを作る
Reconコマンドを安全に試すには、自分専用の検証ラボが一番。🏗️ ConoHa VPSなら月額数百円からLinux環境を立てられ、nmapやgobusterなどのツールを「自分のサーバ」に打ち込んで安全に試せます。
PR / 広告
※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。
⚠️ よくある落とし穴
よくあるミス。
- Server ヘッダだけ消して X-Powered-By を残す。
- Cookie名を「DEFAULT_SESSION」など独自にしても、属性や挙動から技術特定される。
- 本番デプロイで .map / .git ディレクトリを誤公開。
- /admin、/login、/wp-admin/ などの定番パスへのアクセスを監視していない。
- 「自社しか知らないfavicon」と思い込む(Shodanで世界に拡散)。
- メタタグ generator=”WordPress 5.x” を残す。
🧰 ツール早見表
使う道具。
| ツール | 用途 | ひと言 |
|---|---|---|
| Wappalyzer (拡張) | ブラウザで一発判定 | 日常使いに最適 |
| whatweb / webanalyze | CLI技術特定 | スクリプト連携向き |
| nuclei | CVEテンプレート照合 | 指紋から既知脆弱性へ直行 |
| httpx | 大量ホストの一括指紋 | ProjectDiscovery製、高速 |
| Shodan favicon hash | 類似サーバ横展開 | python mmh3 + Shodan API |
🎓 本気で学びたい人へ
Recon・OSINTを絵空事だけで終わらせず、セキュリティエンジニアをキャリアとして目指したい方に。🎓 ササエルは現場で使えるスキルを体系的に学べるスクールです。
PR / 広告
📚 もっと深く学びたい人へ
体系的に攻撃と防御の両面を学びたいなら『ホワイトハッカー入門 第2版』が分かりやすい入口です📚
📚 次に読みたい
- 【ディレクトリ列挙編】リンクされてない隠しエンドポイントを掘る|CTF思考フレームワーク R04
- 【Google Dork編】検索演算子で機微情報を引き出す受動偵察|CTF思考フレームワーク R05
- 【ログイン画面の攻撃者目線】何を狙う?どう守る?|CTF思考フレームワーク #01
✍️ 学んだことを発信する
セキュリティブログを自分で始めたい方へ。🌐 ConoHa WINGなら初期費用無料でWordPressを起こせ、学んだことをアウトプットしていけます。
PR / 広告
