20090218 第５回「PhpによるWebアプリケーションのセキュリティ入門」

「 PHP による web アプリケーションのセキュリティ入門」第５回社内勉強会

攻撃を防ぐには攻撃の種類を知る防御の方法を知るなにより攻撃されている、ということを知る

本日のお題 PHP による web アプリケーションのセキュリティ入門

本日の目標業務でおなじみ PHP を例に PHP に限ったことじゃない基礎知識と危機感を持って帰ってください

本日ご紹介しますのは XSS CSRF SQL インジェクション

クロスサイトスクリプティング略称： XSS 入力データを無防備に HTML 出力　↓ ブラウザがタグとして解釈　↓ 当然 <script> タグも有効　↓ 閲覧したクライアント上で任意の JavaScript コードを実行させることができる

クロスサイトスクリプティング JavaScript を実行されるとこんなに危険クッキーの値を設定・取得できるセッションハイジャック意図しないページ遷移を起こさせるクロスサイト・リクエスト・フォージェリ ( 後述 ) ページ全体を置き換えるフィッシングフォームのアクションを書き換えるフォーム情報の不正取得

対策表示するときは文字列をエスケープする htmlspecialchars($value, ENT_QUOTES) ; http://jp.php.net/htmlspecialchars '&' ( アンパサンド ) は '&' になります。 ENT_NOQUOTES が設定されていない場合、 '"' ( ダブルクォート ) は '"' になります。 ENT_QUOTES が設定されている場合のみ、 ''' ( シングルクオート ) は ''' になります。 '<' ( 小なり ) は '<' になります。 '>' ( 大なり ) は '>' になります。

不十分な場合もある・１タグの属性に出力する場合 <a href="{$url}">LINK</a> $url = htmlspecialchars( "javascript:alert(document.cookie)", ENT_QUOTES) ; 安全な URL であるかチェックする必要がある IE のバグ： java \t script:alert()

不十分な場合もある・２そもそも設計を見直すべき場合 <script> {$hoge} </script> <style> {$piyo} </style> それは本当に必要か？

入力に HTML タグを許可したい場合結構大変例：はてなダイアリーの場合ホワイトリストで制限する独自タグを実装するあきらめる

まとめクライアントから送られてくる値は信用しない $_GET, $_POST $_REQUEST は使わないようにしようエスケープは表示する直前に行う元データを加工してしまうと転用しづらい私たちはケータイだから関係ないや … と思わずしっかり対策する

クロスサイト・リクエスト・フォージェリ略称：CSRF / XSRF 「しーさーふ」ってダサいよね攻撃者が攻撃用のページを用意　↓ 利用者がアクセスすること　↓ 攻撃リクエストが送信される

クロスサイト・リクエスト・フォージェリ恐ろしいところ：正規のリクエストと見分けがつかない対策が大変パスワードを再入力させる CAPTCHA を使うトークンを使う

トークン？CAPTCHA？トークンって？ユーザごとに固有の値登録時に一度だけ生成する使い捨ての値　ワンタイムトークン CAPTCHA こんなの

トークンによる対策の概要フォームでトークン生成　↓ hiddenフィールドから一緒に送信サーバ側でセッションに格納　↓ リクエストとセッションを突き合わせる　↓ 合致したら正当なリクエストとして扱う

私たちは携帯向けサイトを作っている cookieが使えないセッションIDをURLで引き回すのも前時代的 webサーバが複数ある PHP標準のセッション機能が使えない油断しがち「ソースが見えない」「パラメータは改竄できない」は幻想

対策いろいろ端末識別 ID による認証ケータイサイトでは基本賛否両論ありますが… クリティカルな箇所はトークンチートページを作って自分自身のアカウントを攻撃　↓ 自分のパラメータを書きかえられちゃうとマズー DB 、 memcached などを使っていろいろ実装する必要がある入力値のチェッククライアントから送られてくる値は信用しない $_GET, $_POST $_REQUEST は使わないようにしよう大事なことなので二回言いました

まとめいろいろ大変手を抜くと被害が大きい大変だが油断しないこと人には言えない痛い目に遭ってます

SQLインジェクションアプリケーションが想定しない SQL文を実行させることデモスクリプトで削除に使ってるクエリ $sql = "DELETE FROM bbs" . " WHERE id = { $_POST['id'] }" . " AND pass = '{$_POST['pass']}' " . " LIMIT 1" ; 見るからに危険

こんな攻撃ページを作った <form action="http://localhost/Part2/2-1.php" method="POST"> sql:<input type="text" name="id“ value=" 0 OR 1 # “ readonly="true" /><br /> <input type="submit" name="delete“ value="Do It!" /> </form>

SQLにパラメータを埋め込む展開すると MySQLは[#]から行末までと [/* ～ */]がコメントということは… DELETE FROM bbs WHERE id = 0 OR 1 # AND pass = '' LIMIT 1

対策プリペアドステートメントとバインド使え。以上。 PHP 5.2以上は PDOで… $sql = "DELETE FROM bbs" . " WHERE id = :id" . " AND pass = :pass " . " LIMIT 1" ; $pdo = new PDO($connection_param) ; $stmt = $pdo->prepare($sql) ; $stmt->bindParam(":id", $_POST['id'] , PDO::PARAM_INT) ; $stmt->bindParam(":pass", $_POST['pass'], PDO::PARAM_STR) ; $stmt->query() ;

使えない場合は？(数値型) 数値型は数値としての妥当性をチェックする intval() is_int() is_numeric() preg_match("/^[0-9]+$/", $param) それぞれ挙動が違うので適切なものを利用する

使えない場合は？(文字列型・1) データベース接続モジュールが提供するエスケープ関数を利用する string mysql_escape_string( string $unescaped_string) string pg_escape_string( [resource $connection], string $data)

使えない場合は？(文字列型・2) 自力でエスケープ PostgreSQL は 8.1.4 から設定で「 \‘ 」を拒否できるようになった「 '' 」を使うのが望ましい 1 \\ \ ‘’ or \’ ‘ MySQL PostgreSQL ‘’ ‘ Oracle MS SQL DB2 エスケープ元の文字 DB

全体のまとめ一番よくある攻撃３種類を簡単に紹介攻撃されることを前提にした設計・コーディングをリクエストパラメータは絶対に信用しない攻撃者は執念深い「ケータイだから」と油断は禁物攻撃方法はこれだけじゃない常に情報を収集する努力を

必読 PHPサイバーテロの技法 ―攻撃と防御の実際社内蔵書にあるので必読この本だけで十分とは言い切れないのが恐ろしい

リンク集クロスサイトスクリプティング - Wikipedia http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0 クロスサイトリクエストフォージェリ - Wikipedia http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%AA SQL インジェクション - Wikipedia http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3 開発者のための正しい CSRF 対策 http://www.jumperz.net/texts/csrf.htm はてなダイアリー XSS 対策 - はてなダイアリーのヘルプ http://hatenadiary.g.hatena.ne.jp/keyword/%e3%81%af%e3%81%a6%e3%81%aa%e3%83%80%e3%82%a4%e3%82%a2%e3%83%aa%e3%83%bcXSS%e5%af%be%e7%ad%96 徳丸浩の日記 – そろそろ SQL エスケープに関して一言いっとくか – SQL のエスケープ再考 http://www.tokumaru.org/d/20080601.html#p01 Amazon.co.jp ： PHP サイバーテロの技法―攻撃と防御の実際 http://www.amazon.co.jp/gp/product/4883374718/ref=sib_rdr_dp

おしまいご清聴ありがとうございました

20090218 第５回「PhpによるWebアプリケーションのセキュリティ入門」

More Related Content

What's hot

Viewers also liked

Similar to 20090218 第５回「PhpによるWebアプリケーションのセキュリティ入門」

More from Hiromu Shioya

20090218 第５回「PhpによるWebアプリケーションのセキュリティ入門」