Download as ODP, PPTX
Uploaded byYuya Takeyama
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
Web アプリケーションにおけるセキュリティの基本、また PHP 特有の問題等について。
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
- 1. 第一回 社内勉強会 SecurityChecklist に学ぶ PHP セキュリティ Yuya Takeyama 2010/05/21 (Fri)
- 2. 本日の目的 Webにおけるセキュリティの基本を再確認 「知ってて当然」とされる事柄はあまりに多い。共通の語彙を身につければ、コミュニケーションコストも下がる。
- 3. PHP におけるセキュリティの難所を知る PHPに特化した、より実践的な話。 教材として PHP Application Security Checklist を使用。
- 4.
- 5.
- 6.
- 7. アジェンダ Web におけるセキュリティのおさらい・クロスサイトスクリプティング
- 8.
- 9.
- 10. ・本当はおそろしい php.ini ・5c 問題の無間地獄
- 11. Cross Site ScriptingCross Site Scripting Cross Site Scripting Cross Site Scripting
- 12.
- 13.
- 14. ・・・だと Cascading StyleSheet と混同するので
- 15. XSS 一般的には と呼ばれています(DVD のプロテクト技術にも CSS ってのがありましたが・・・ )
- 16.
- 17.
- 18. Input from $_GET,$_POST, $_COOKIE and $_REQUEST is considered tainted.
- 19.
- 20. $_GET 、 $_POST、 $_COOKIE 、そして $_REQUEST からの入力は 汚染 を考慮されているか。
- 21. Understood that onlysome values in $_SERVER and $_ENV are untainted.
- 22.
- 23. 汚染 されていないのは $_SERVER と $_ENV のいくつかの値だけであることを理解しているか。
- 24.
- 25. 入力の 汚染 を常に 疑うこと
- 26. 出力は 常に エスケープすること
- 27.
- 28.
- 29.
- 30. SELECT * FROMusers WHERE user = ' yuya ' AND pass = ' doom ' 色 がついているのは、ユーザーのフォームへの入力による値
- 31. パスワードが一致しないと レコードが引けない (=ログインできない ) はずだけど・・・
- 32. SELECT * FROMusers WHERE user = ' yuya' OR 1 # ' AND pass = ' doom '
- 33.
- 34. SELECT * FROMusers WHERE user = ' ';TRUNCATE users # ' AND pass = ' doom '
- 35.
- 36. PHP の mysql_query 関数は ;( セミコロン ) 区切りによる 複数のクエリ の同時送信は できない 。
- 37.
- 38. どうしたら SQL インジェクションから自由になれるか
- 39. 入力の 汚染 を常に 疑うこと
- 40. 出力は 常に エスケープすること
- 41. SELECT * FROMusers WHERE user = ' yuya \ ' OR 1 # ' AND pass = ' doom ' SQL 文のエスケープをしてあげる ※ SQL 文は PHP アプリケーションから 見れば出力ですね
- 42.
- 43.
- 44.
- 45.
- 46.
- 47.
- 48.
- 49.
- 50. ここで再び PHP ApplicationSecurity Checklist
- 51.
- 52.
- 53.
- 54. http://example.net/?debug=on にアクセスすると ”on” という値を持った 変数 $debug が 勝手に できてしまう
- 55. 現在は デフォルトで Offになっているので とりあえず 安心
- 56. php.ini には こういう地雷 がいっぱい しかも On だったりするから困る
- 57. addslashes() は マルチバイトを扱えないから 使用禁止!
- 58. magic_quotes_gpc も Onにするの禁止!
- 59. addslashes() is notused.
- 60. Magic quotes isdisabled.
- 61. PHP Application SecurityChecklist さんも そう言ってるので!
- 62.
- 63. そもそも addslashes() がイケてない( 日本になんて生まれるんじゃなかった )
- 64. マルチバイト文字を抜きにしても、 addslashes() ではエスケープできないDB もある。 (SQLite とか )
- 65.
- 66.
- 67. addslashes() じゃない SQLのエスケープについて 考えてみる
- 68.
- 69.
- 70.
- 71.
- 72.
- 73.
- 74. SET NAMES してもmysql_client_encoding() は変わりません。
- 75. mysql_set_charset() しましょう とりあえずこれでうまくいく模様 ( 要検証 )
- 76.
- 77. mysql_set_charset() は PHP5.23 以降のみ あとは my.cnf とか 触らないといけなくなる・・・
- 78.
- 79. $sql = "INSERTINTO artists (id, name) VALUES ( ? , ? )"; $stmt = $db->prepare($sql); $data = array( 1 , ' 野坂昭如 '); $db->execute($stmt, $data); ↑ こーいうの
- 80.
- 81.
- 82. PHP スクリプトで エミュレートしているだけだと、 結局同じことが 起りうる
- 83. とりあえず Pear はダメっぽい
- 84. DBMS 側が 提供しているAPI を利用する ライブラリなら 安心?
- 85. PHP における Shitft_JISの扱いの難しさ magic_quotes_gpc, addslashes() は禁止
- 86. SET NAMES も禁止。mysql_set_charset() しましょう
- 87.
- 88.
- 89. 参考文献 『 PHPApplication Security Checklist 』 http://www.sk89q.com/content/2010/04/phpsec_cheatsheet.pdf Chris Shiflett 『入門 PHP セキュリティ』