IM-SecureBlocker

Size: px

Start display at page:

Download "IM-SecureBlocker"

ちとらうるしはた
5 years ago
Views:

1 IM-SecureBlocker 導入ガイド ver /05/30 初版

3 変更年月日 2008/05/30 初版 << 変更履歴 >> 変更内容

5 目次 << 目次 >> 1 概要用語解説目的環境機能注意事項導入概要初期設定設定値設定値のキャッシュ設定ファイルの準備設定内容のキャッシュチェック設定ファイルメール設定ファイル SBライブラリ使用例サニタイズを行わない場合サニタイズを行う場合確認設定確認動作確認運用概要ログ通知...11 作成者 : 株式会社 NTT データイントラマート Page i

6 intra-mart 導入ガイド 1 概要 1.1 用語解説用語 intra-mart WebPlatform (Resin) IM-SecureBlocker 解説以下 IWP と略します以下 SB と略します 1.2 目的 1.3 環境本書では SB を im-javaee Framework で使用するまでの説明を行います SB とは Web アプリケーション脆弱性対策用の Java ライブラリのことでこれを利用することにより開発者に依存せず簡単に Web アプリケーションのセキュリティレベルを底上げすることができますクライアントから不正な入力を送り込む型の攻撃に対応しており既知の攻撃 ( ディレクトリトラバーサル SQL コマンドインジェクションクロスサイトスクリプティング OS コマンドインジェクション ) に対し問題のある値の検知またはサニタイズを行いますチェックの対象はいわゆる GET 値と単純な POST 値です ( ファイルアップロードなどの特殊な POST には対応していません ) またセッションハイジャック DoS などの攻撃には対応しておりませんただしこれらの名称で知られる攻撃すべてをチェックできるわけではありません SB は以下の環境で動作します IWP ver6.1 Page 2 Copyright 株式会社 NTT データイントラマート All rights Reserved.

7 1 概要 1.4 機能チェックの機能クライアントからの入力値をチェックしますチェックの項目は以下から選択し設定することができます問題のある値をチェックするだけの使い方とサニタイズさせる使い方がありますサニタイズできるチェック項目は限られますチェック項目チェック項目名概要サニタイズ除外文字列指定機能次項目以降のチェックを除外したなしい文字 ( 列 ) を正規表現によって記述する入力文字列中に指定された文字 ( 列 ) が含まれる場合は該当部分のみ次項目の各種チェックはすべてすり抜けることが可能 URL 許可文字列 1 URL 使用許可文字のチェックを行なしいますディレクトリトラバーサル 1 相対パス相当文字列をチェックしなします SQL コマンドインジェクション 1 SQL コマンド相当文字列をチェックありしますクロスサイトスクリプティング 1 クロスサイトスクリプティング攻撃で一部あり 2 使用される文字列をチェックします OS コマンドインジェクション 1 OS 用のコマンドとして使用される文字をチェックしますなし 1 ただしこれらの名称で知られる攻撃すべてをチェックできるわけではありませんライブラリ作成時に想定された攻撃に関してチェックを行います 2 単純な HTML エンコードでサニタイズできないものはエラーを返しますチェック対象はいわゆる GET 値と単純な POST 値です特殊な入力 ( ファイルアップロードなどのマルチパート POST 等 ) はチェックしません入力値を一括して処理する機能がありますただしチェック対象の入力値は適切に日本語処理が施されている必要がありますこの場合不正な値を検知するとエラーを返し処理が中断されますその後のチェックは行わずその時点で処理を終了します通知の機能不正な値が検知されたりサニタイズが行われたりした場合は必要に応じて内容を通知させることができます通知の方法はメール送信かログ出力を選択できますログ出力先は標準エラー出力です作成者 : 株式会社 NTT データイントラマート Page 3

9 2 導入 2 導入 2.1 概要 2.2 初期設定ライセンスなどの初期設定を行いますチェックの設定ファイルを準備しどのページにどのチェック設定を割り当てるかを決めます im-javaee Framework のサービスフレームワーク毎にライブラリの組み込み作業を行います設定値プロパティファイルの設定値に初期化パラメータを設定しますプロパティファイル (Application Runtime のコンテキストルート )/WEB-INF/classes/jp/co/intra_mart/product/ssdiv/ wivconfiguretion.properties 設定値 1. ライセンス設定値名 : wiv.license0~wiv.license15 概要 : ライセンスキーです少なくとも一つ必要です 16 個まで設定できます 2. 通知メール送信用のメールサーバー名設定値名 : wiv.mail.smtp.host 概要 : 通知メール送信用のメールサーバー名です 3. 通知メールのメール送信者メールアドレス設定値名 : wiv.mail.from 概要 : 通知メールのメール送信者メールアドレスです 4. 通知頻度設定値名 : wiv.verbose 概要 : 不正な値が検知されるかサニタイズされた場合に通知をするならば 1 しないならば 0 と指定しますプロパティファイル設定例 (wivconfiguretion.properties) wiv.license0=000005/secure.example.com/070701/080530/001/e284d8632bc220cfa ( 省略 ) wiv.mail.smtp.host=localhost wiv.mail.from=shopmanager@example.com wiv.verbose= 設定値のキャッシュすべての設定値は初回利用時にキャッシュされますプロパティファイルを変更した際 IWPの再起動が必要です 2.3 設定ファイルの準備チェック設定ファイルと通知用のメール設定ファイルを準備します準備する際は設定ファイルの文字セットについて注意が必要です ( ) これらの設定ファイルは im-javaee Framework の複数のサービスフレームワークから共有することができますなお設定ファイルの内容は初回チェック実行時にメモリにキャッシュされるため変更した内容はすぐに反映されません作成者 : 株式会社 NTT データイントラマート Page 5

10 intra-mart 導入ガイドファイルは Java 環境のデフォルトの文字セットで読み込まれます特に日本語を扱うときなどは十分注意して設定し十分テストを行ってください設定内容のキャッシュ設定内容は初回チェック実行時にメモリにキャッシュされますキャッシュクリア用のメソッドを呼ぶことで明示的にキャッシュをクリアさせることができますキャッシュクリア用のメソッドを呼び出す例ただしチェック機能の利用中 ( 初期化を含む ) に行ってはいけません開発時にご利用いただくことを想定しているメソッドです jp.co.intra_mart.product.ssdiv. IMWebInputValidator;... IMWebInputValidator.clearConfDic(); チェック設定ファイルチェックのルールを設定しますパラメータ名ごとにチェックする内容を設定することができますパラメータ名はリクエストのパラメータの名前ですチェック実行時に該当するパラメータ名が無い場合はチェックは行われず問題なしと判断されますチェックの内容はタブ区切りで 7 列ですそれぞれの列は左から順に以下のようになります 1. パラメータ名 2. 除外文字列指定正規表現 ( 除外文字列指定機能を使う場合は正規表現をそうで無い場合は 0 を指定します ) 3. URL 使用許可文字のチェックを行うか ( ) 4. OS コマンドインジェクションのチェックを行うか ( ) 5. ディレクトリトラバーサルのチェックを行うか ( ) 6. SQL コマンドインジェクションのチェックを行うか ( ) 7. クロスサイトスクリプティングのチェックを行うか ( ) チェックを行う場合は 1 行わない場合は 0 を指定しますパラメータ名 %ALLPARAM% の行は特殊な機能を持ちます 1. 動作は項目の記述順 ( 行の上下 ) に依存するので注意が必要です 2. あるパラメータ (key) 名の入力値が通るチェック項目は key 名の行が %ALLPARAM% 行より上にあるならば key 名の行の項目のみですそうでない場合は %ALLPARAM% 行の項目のみですチェック設定はライブラリ内部では Java の int で行数管理され Hashtable としてメモリに格納されますこれがチェック設定の量の上限の一つとなります設定ファイル例 ###### セキュリティ対策ライブラリチェック設定ファイル ###### #%ALLPARAM% を有効にすると引数で渡されたハッシュの全パラメータについて指定されたチェックルーチンを起動します # パラメータ名除外文字列指定正規表現 URL OS DT SQL XSS %ALLPARAM% #ENQ_FILE % #ENQ_FILE PRESENT #ITEM #ITEM #ITEM #ITEM #ITEM 各フィールド間はタブ区切り全パラメータ検査の定義除外文字列指定のルールが正規表現で記述できますチェックを有効にする場合は 1 にセットする Page 6 Copyright 株式会社 NTT データイントラマート All rights Reserved.

11 2 導入メール設定ファイル通知メールの送信先を設定します一行に 1 つのメールアドレスを記述します 0 個以上のメールアドレスを設定できます 0 個の場合はメール通知は行われずにログに出力されます行頭が # の行はコメント行として無視されますメール設定は Java の Vector としてメモリに格納されますこれがメール設定の量の上限の一つとなります設定ファイル名 ###### セキュリティ対策ライブラリメール設定ファイル ###### # システム管理者 sysadmin@shop.example.com # セキュリティタスクフォースメンバー sectf@auth.example.com 2.4 SB ライブラリ使用例サービスフレームワーク内の該当するクラスを変更し本ライブラリのチェック機能 (IMWevInputValidator クラス ) を組み込む使用例を説明しますサニタイズを行う場合と行わない場合とで実装方法が異なります以下それぞれについて ServiceControllerAdapter#check() で実装する例を説明します作成者 : 株式会社 NTT データイントラマート Page 7

12 intra-mart 導入ガイドサニタイズを行わない場合ライブラリを import します初期化メソッドを呼びますここでチェック設定ファイルの場所を指定します初期化メソッドの成功を確認します ( 失敗した場合は以下の処理を正常に続けることはできません ) チェックの実行チェック対象の値を渡して結果を取得しますチェック結果で値に問題があった場合問題の理由を取得することが出来ますサービスフレームワーク ServiceControllerAdapter#check() での設置例 import jp.co.intra_mart.product.ssdiv.imwebinputvalidator; import jp.co.intra_mart.product.ssdiv.imwebinputvalidatorinitializeexception; public class MSampleStfInfoServiceController extends ServiceControllerAdapter { } /** * IM-SecureBlocker を利用して入力内容 ( リクエストパラメータ ) をチェックします * RequestException 入力内容に誤りがある SystemException 入力チェック時にシステム例外が発生 */ public void check() throws RequestException, SystemException { } : /////////////////////////////////////////////// // 1. Web アプリケーション脆弱性対策用ライブラリのインスタンス化 IMWebInputValidator imwiv = new IMWebInputValidator(); /////////////////////////////////////////////// // 2. 初期化 try { imwiv.initialize(check_conf_file_name); } catch (IMWebInputValidatorInitializeException e) { // 初期化に失敗した場合 throw new SystemException(e); } /////////////////////////////////////////////// // 3. まとめて値をチェック // サニタイズは行わない例 int checkresult = imwiv.checkkeyvalue(this.getrequest().getparametermap()); if (checkresult < 0) { // 入力値に問題がある場合の処理 String errorreason = imwiv.getlastcheckerrorreason(); throw new RequestException(errorReason); } Page 8 Copyright 株式会社 NTT データイントラマート All rights Reserved.

13 2 導入サニタイズを行う場合ライブラリを import します初期化メソッドを呼びますここでチェック設定ファイルの場所を指定します初期化メソッドの成功を確認します ( 失敗した場合は以下の処理を正常に続けることはできません ) チェックの実行 ( 以下の操作は繰り返して行うことができます ) チェック対象の値を渡して結果を取得しますチェック結果で値に問題があった場合問題の理由を取得することができますチェック結果が問題ないまたはサニタイズが可能であった場合は値を取り出してもとのチェック対象値の代わりに以降のアプリケーションの処理で使用しますサービスフレームワーク ServiceControllerAdapter#check() での設置例 import jp.co.intra_mart.product.ssdiv.imwebinputvalidator; import jp.co.intra_mart.product.ssdiv.imwebinputvalidatorinitializeexception; public class MSampleStfInfoServiceController extends ServiceControllerAdapter { } private Map sanitaizedparametermap; /** * IM-SecureBlocker を利用して入力内容 ( リクエストパラメータ ) をチェックします * RequestException 入力内容に誤りがある SystemException 入力チェック時にシステム例外が発生 */ public void check() throws RequestException, SystemException { } : /////////////////////////////////////////////// // 1. Web アプリケーション脆弱性対策用ライブラリのインスタンス化 IMWebInputValidator imwiv = new IMWebInputValidator(); /////////////////////////////////////////////// // 2. 初期化 try { imwiv.initialize(check_conf_file_name); } catch (IMWebInputValidatorInitializeException e) { // 初期化に失敗した場合 throw new SystemException(e); } /////////////////////////////////////////////// // 3. まとめて値をチェック // サニタイズは行う例 int checkresult = imwiv.checkkeyvalueautosanitize(this.getrequest().getparametermap()); if (checkresult < 0) { // 入力値に問題がある場合の処理 String errorreason = imwiv.getlastcheckerrorreason(); throw new RequestException(errorReason); } /////////////////////////////////////////////// // 4. サニタイズされた結果を保持する以降これを使用する this.sanitaizedparametermap = imwiv.getlastsanitizedmap(); 作成者 : 株式会社 NTT データイントラマート Page 9

14 intra-mart 導入ガイド 2.5 確認設定確認設定箇所プロパティファイル設定値 ( 初期化パラメータ ) 設定ファイルサービスフレームワーク設定ライセンス (wiv.license0~wiv.license15) 通知メール送信用のメールサーバー名 (wiv.mail.smtp.host) 通知メールのメール送信者メールアドレス (wiv.mail.from) 通知頻度 (wiv.verbose) チェック設定ファイルメール設定ファイル適切なプログラム変更動作確認 IWP が正常に起動することを確認しますライブラリを組み込んだページでチェック機能を動作させます初めてチェックを実行するときにライブラリはライセンス確認や設定ファイルの読み込みを行いますログ (3.2 ログ参照 ) を確認しますライセンス設定やメール設定の成功を示すログ (NOTICE) があること問題をあらわすログ ( ログの種類が ERR や WARNING) が無いこと入力テストを実行し期待した動作をするかを確認してください特に初めて組み込んだ場合はプログラム変更や設定に問題が無いかライブラリが期待通り動作しているかログや通知は正常に出力されているかなどを十分に確認してください Page 10 Copyright 株式会社 NTT データイントラマート All rights Reserved.

15 3 運用 3 運用 3.1 概要 3.2 ログライブラリの出力するログに注意してくださいライセンスの期限切れに注意してください標準エラー出力にログを出力しますライブラリの出力はほぼ以下の書式に従います複数行にまたがるログは先頭行のみこの書式に従います WebInputValidator( ログの種類 ): 内容ログの種類ログの種類 ERR WARNING NOTICE INFO 説明問題がありライブラリが正常に動作していません設定やプログラムを見直す必要があります注意が必要です設定やプログラムを見直すことをお勧めしますライブラリの動作に問題はありません重要な情報ですライブラリの動作に問題はありません参考情報です通知 (3.3 通知参照 ) をログに出力する場合はこのログの種類になります 3.3 通知不正な値が検知されたりサニタイズが行われたりした場合は必要に応じて内容を通知させることができます通知するかしないかはプロパティファイルで設定 (2.2 初期設定参照 ) することができますチェック版では値毎に通知されサニタイズ版ではサニタイズ毎に通知されますので一つの値に対して複数通知される場合があります通知先はメール設定 (2.3.3メール設定ファイル参照 ) で指定した所に通知されます通知先は 0 個以上複数メールアドレスを設定することができますが送信先設定が 0 またはメール送信が失敗した場合通知は行われず通知情報の内容はログに出力されます通知情報には Web アプリケーションへの入力値 ( サニタイズ前 ) が含まれますので取り扱いには注意してください ( 通知メールを読むソフトの設定や通知情報の二次利用など注意が必要ですテストデバッグ時のみ通知させ運用時には通知させないと言う方法も一案です ) 以下に通知情報の内容について記述します作成者 : 株式会社 NTT データイントラマート Page 11

16 intra-mart 導入ガイド通知情報項目名 KEY VALUE SANITIZED_VALUE REASON その他の情報概要パラメータ名ですチェック対象値ですサニタイズ値ですただし最終的なサニタイズ値でない可能性がありますエラーやサニタイズの理由です書式について以下表 REASON の書式に記しますエラーが起こったページのリクエスト関連情報です REASONの書式チェック項目書式 URL 仕様許可文字のチェック FOUND DISALLOWED URL SIGNATURE:( 詳細 ) ディレクトリトラバーサル FOUND DIR TRAVERSAL SIGNATURE:( 詳細 ) SQL コマンドインジェクション FOUND SQL INJECTION SIGNATURE:( 詳細 ) SQL コマンドインジェクション FOUND SQL INJECTION SIGNATURE SO SANITIZED: ( サニタイズ ) ( 詳細 ) クロスサイトスクリプティング FOUND XSS SIGNATURE:( 詳細 ) または FOUND XSS EVENT SIGNATURE: ( 詳細 ) クロスサイトスクリプティング FOUND XSS SIGNATURE SO SANITIZED:( 詳細 ) ( サニタイズ ) OS コマンドインジェクション FOUND OS COMMAND INJECTION SIGNATURE: ( 詳細 ) 通知例 ************ HAS BEEN FOUND INPUT ERROR ************** KEY -> ITEM23 VALUE -> a'or'a'='a'a SANITIZED_VALUE -> null REASON -> FOUND XSS SIGNATURE SO SANITIZED: ' -> '' その他の情報 Method: POST Request URI: /imart/system(2f)security(2f)user(2f)600(2f)main.jssps Protocol: HTTP/1.1 PathInfo: null Remote Address: host: localhost:8080 user-agent: w3m/ content-length: 164 content-type: application/x-www-form-urlencoded Page 12 Copyright 株式会社 NTT データイントラマート All rights Reserved.

IM-FormatCreator

IM-FormatCreator Version 6.1 中国語コンテンツ ( 簡体字 ) インストールガイド 2008/07/31 初版変更年月日 2008/07/31 初版 > 変更内容目次 > 1 はじめに...1 1.1 用語解説...1 1.2 前提条件...1 1.3 インストール対象モジュール...2 1.3.1 intra-mart WebPlatform...2