目次〜.indd

Size: px

Start display at page:

Download "目次〜.indd"

ためひとやすもと
5 years ago
Views:

1 目次 1 はじめに本書の目的セキュリティホールの一生フルディスクロージャという思想セキュリティの階層 8 2 HTTP 通信の基礎 Web アプリケーションとネットワーク階層化されている通信プロトコル HTTP パケットキャプチャによって実際に確認するパケットキャプチャから見た GET と POST の違いを実際に確認するクライアント側の入力制限とセキュリティクライアント側の入力制限はセキュリティ対策ではない名前をデータとして使う場合のセキュリティ対策忘れに注意 CGI プログラムから見た GET と POST の違いクエリ文字列と Referer 情報による漏洩クエリ文字列と Referer 情報による漏洩クエリ文字列を外部 Web サイトに漏洩させない方法 42 3 HTTP セッション管理となりすまし HTTP はステートレスなプロトコル HTTP セッション管理機能の歴史的経緯 HTTP セッション管理機能の歴史的経緯 REMOTE_ADDR を使う ( 非推奨 ) ログと IP アドレス TOR( 蛇足 : ログと IP アドレス ) 目次.indd :09:31 PM

2 HTTP_Referer を使う ( 非推奨 ) Hidden クエリや Cookie 情報にデータを保持させる ( 非推奨 ) セッション ID によるセッション管理セッション ID によるセッション管理 ( 現在の主流 ) 既存のセッション管理機能既存のセッション管理機能を使う既存のセッション管理機能を使う上での注意点 ( セッションタイムアウト値 ) AJAX と最小タイムアウト値 ( 蛇足 ) 既存のセッション管理機能を使う上での注意点 ( 明示的なセッション破棄ページ ) Session Fixation( セッション固定化攻撃 ) Session Fixation( セッション固定化攻撃 ) ブラウザが提示したセッション ID をそのまま採用する Web アプリケーションサーバセッション ID をクエリ文字列で保持する Web アプリケーションサーバ常時セッション ID を提示してくれる Web アプリケーションサーバ Cookie Monster (CrossDomain Cookie Injection) セッション ID の安全性推測困難なセッション ID を盗み出す Cross-Site Scripting 攻撃セッション ID には推測困難性が必須ワンタイムなセッション ID ワンタイムなセッション ID ワンタイムなセッション ID を使う上での注意点セッション ID の分散セッション ID の分散既存と自作にセッション ID を分散させる改ざん検知ハッシュ値と HMAC という考え方単純な改ざん検知ハッシュ値は危険 HMAC という考え方 75 4 CSRF とアクセス制御 CSRF( クロスサイトリクエストフォージェリ ) CSRF(Cross-Site Request Forgeries) 目次.indd :09:31 PM

3 CSRF 攻撃の対策 ( 推測困難なトークンとパスワードの再入力 ) CSRF 攻撃のトークンとセッション ID フレームワークに実装している CSRF 攻撃対策機能を使おう CSRF 攻撃の対象となる Web ブラウザの機能アクセス制御静的コンテンツへのアクセス制御 89 5 メモリ破壊バグとその対策メモリ破壊バグとはバッファオーバーフロースタック領域におけるバッファオーバーフローたった 1byte のバッファオーバーフローで制御を奪うことは可能か? ヒープ領域におけるバッファオーバーフロー malloc chunk corruption ( ヒープ領域におけるバッファオーバーフローの一例 ) バッファオーバーフローの対策バッファオーバーフローの対策の注意点バッファオーバーフローバグを発生させやすい注意すべき関数終端文字の問題コンパイルオプションの問題バッファアンダーフロー Integer オーバーフローフォーマットストリングバグフォーマットストリングバグへの対策メモリ破壊バグのまとめインジェクション系セキュリティホールとその対策はじめに最初に結論を書いてみたエスケープ処理がインジェクション系セキュリティホールへの基本対策攻撃者が操作できないデータのエスケープの必要性目次.indd :09:32 PM

4 バリデート + エスケープ = サニタイズエスケープ処理はどの時点で行うべきかまとめ XSS(Cross-Site Scripting) XSS(Cross-Site Scripting) の概略 XSS(Cross-Site Scripting) の実例 XSS(Cross-Site Scripting)= 掲示板攻撃 XSS(Cross-Site Scripting) により想定される被害例 XSS(Cross-Site Scripting) 対策の基本 XSS(Cross-Site Scripting) 対策で使える HTML エンコード関数 XSS(Cross-Site Scripting) 対策で使える Web アプリケーションの機能注意したい XSS(Cross-Site Scripting) の対策漏れ XSS(Cross-Site Scripting) の対策 JavaScript の一部として使う場合特殊な XSS の実例 SSI インジェクション文字のエスケープと文字列の監視スクリプトのコメント OS Command インジェクション OS Command( 外部コマンド ) とはシェルプログラムによる別コマンドの実行コマンド引数の強制指定隠れた OS Command 呼び出し OS Command インジェクションの対策 OS Command インジェクションのためのエスケープ処理 OS Command インジェクションのためのエスケープ処理 (Linux 上の bash と tcsh) OS Command インジェクションのためのエスケープ処理 (MS- WindowsNT 系列の cmd.exe) OS Command インジェクションの対策 (PHP の escapeshellarg() 関数と escapeshellcmd() 関数 ) Script インジェクション eval() 関数への攻撃 SQL インジェクション SQL インジェクションの概略目次.indd :09:32 PM

5 SQL 文の文字列リテラルとして使う場合 SQL 文の文字列リテラルとして使う場合 ( 対策編 ) SQL エスケープ処理のための関数 SQL エスケープ処理の例外 mysql と PostgreSQL SQL 文の数値として使う場合 SQL 文の数値として使う場合 ( 対策編 ) 数値として適切かどうかを確認する関数 SQL エスケープとデータ型チェックを自動で行う方法 ( 準備済み SQL 文パラメータクエリ ) SQL 文中のテーブル名やカラム名に入力データを配置させる場合データベースに対しての負荷攻撃データベースサーバでのアクセス権限もセキュリティ上重要エラー画面を Web ブラウザに出さないこともセキュリティ上重要 Blind SQL インジェクションという驚異的攻撃手法 CSV 形式のデータに対しての攻撃手法 CakePHP フレームワーク特有の比較演算子インジェクション Jet データベースへの OS Command インジェクション ( 過去の話題 ) LDAP インジェクション XPATH/XQuery インジェクション XPATH/XQuery インジェクション Null インジェクション Null インジェクションとは Null インジェクションの対策 Null インジェクションの環境ごとの差異 Null インジェクション対策 ( ライブラリによる対策 ) CRLF インジェクション CRLF インジェクションとは CRLF インジェクション (HTTP ヘッダへのインジェクション ) CRLF インジェクション ( 電子メールに対してのインジェクション ) CRLF インジェクションのまとめ ( その他のプロトコルへの応用 ) 目次.indd :09:32 PM

6 7 ファイルパスと URL ファイルを安全に扱うために絶対パス指定の問題絶対パス指定の問題ネットワーク上のファイルを扱うディレクトリトラバーサルディレクトリトラバーサルとはディレクトリトラバーサルの対策 ( 基本 ) の監視は文字列の監視 / またはの監視は文字の監視手動でファイルパスの正規化を行う関数を使ってファイルパスの正規化を行うディレクトリトラバーサルの対策 ( まとめ ) NTFS とセキュアなファイルパスの取り扱い拡張子による制限ファイル名として許可されている文字やファイル名の長さファイルアップロードとファイル名 perl の open() 関数の場合 IIS+ASP の親のパスの有効化オプション URL パスへ応用ファイルパスの考えを URL パスにも応用する蛇足 :URL と URI URL の先頭はハードコーディングすること URL の先頭はスキーム名ホスト名までハードコーディングすること Web 仮想ルートパスの / の重複( 相対パス指定時 ) URL へ汚染データを埋め込むときは URL エンコードを行うことその他のセキュアプログラミング TIPS Web アプリケーションの各種ファイルの配置方法と最小権限の原則 Web アプリケーションの各種ファイルの配置方法アクセス権はファイルにではなくディレクトリに設定する乱数とセキュリティ目次.indd :09:32 PM

7 乱数 rand () 関数を使う上での注意点 rand () 関数よりも推測困難な乱数関数を使用する有効ビット数という考え方推測困難な値の文字列長は長ければ長いほど安全性は高い暗号ハッシュハッシュ関数暗号関数を使うハッシュ関数暗号関数を使う上での注意点 RainbowCrack ユーザアカウントのパスワード最大長 DPAPI(Data Protection API) クライアント認証クライアント認証とはクライアント認証を実装する上での注意点クライアント認証と IIS+ASP の Request オブジェクトクライアント認証と IIS+ASP の Request オブジェクトから読み取れる言語全般にわたる教訓 Cookie の各種プロパティ Cookie の secure オプション Cookie の httponly オプションその他の Cookie のオプション (Domain Path) 圧縮ファイルとセキュリティ伸張サイズ展開先ディレクトリコンピュータウィルスチェック伸張されたファイルのファイル名正規表現とセキュリティクレジットカードのチェックサム文字コードによるサニタイジング回避テクニック文字コードによるサニタイジング回避テクニックとは Shift-JIS によるサニタイジング回避テクニック UNICODE を使ったサニタイジング回避テクニック目次.indd :09:33 PM

8 9 その他の Web アプリケーション開発時の注意事項そもそも Web アプリケーションである必要性はあるのか? 画面デザイン上の問題ポップアップする Web ページ ( 特にログイン画面 ) ブラウザのアドレス欄ステータスバーを表示したままにしておく内部フレームに他の Web サイトのページを表示するユーザ認証とエラーメッセージそしてパスワードリマインダのメッセージ SSL のバージョン SSL の強制概要 Apache の場合 IIS の場合 SSL 証明書の信頼性その他の SSL 設定の問題フレーム内部の SSL ページ非 SSL ページから送信する Web ページコンピュータウィルスチェックデフォルトコンテンツの削除 Apache の場合 IIS の場合 JavaServlet エンジンの場合ディレクトリリスティングと既定コンテンツ Apache の場合 IIS の場合 OS ユーザの存在有無の脆弱性 Apache の場合 TRACE メソッドの禁止 Apache の場合 IIS の場合プライベート IP アドレスの漏洩を防御する IIS の場合 (content-location) IIS の場合 (realm) 目次.indd :09:33 PM

9 9. 14 特定のファイルを読み出し禁止の設定にする PHP の場合 Apache の場合 IIS の場合 Web サーバ上でのアクセス権限についてスクリプトと静的コンテンツの分離 Apache の場合 IIS で設定できる二つのアクセス権グループ不要な拡張子マッピングは削除する IIS の場合ファイルの存在の確認 IIS の場合拡張子マッピングでメソッドを制限する IIS の場合エラー表示の抑制 PHP の場合 Tomcat の場合 Apache の場合 ASP.NET の場合 IIS の場合まとめ SSI の設定概要 Apache の場合親のパスを有効にするを無効にする IIS の場合拡張されたファイルパスの抑制 PHP の場合 PHP の設定ファイルについて PHP イースターエッグによるバージョン漏洩 PHP の場合ファイルアップロードの禁止 PHP の場合目次.indd :09:33 PM

10 9. 26 バイナリファイルに保存されている XSS 攻撃コード Apache の場合クエリ文字列セッション ID の禁止 PHP の場合 ASP.NET の場合 WebSphere の場合文字セットの強制文字セット自動判断による XSS 攻撃 IIS の場合 MS-WindowsNT 系でのログオン情報のキャッシュ MS-WindowsNT 系での LM Hash 携帯向けコンテンツとフィルタリングリバースプロキシを使う場合メールサーバと Web アプリケーション 405 おわりに 406 索引目次.indd :09:33 PM

WEBシステムのセキュリティ技術

WEBシステムのセキュリティ技術 WEB システムのセキュリティ技術棚橋沙弥香目次今回は開発者が気をつけるべきセキュリティ対策として以下の内容についてまとめました SQLインジェクションクロスサイトスクリプティング OSコマンドインジェクションディレクトリトラバーサル HTTPヘッダインジェクションメールヘッダインジェクション SQL インジェクションとは 1 データベースと連動した Web サイトでデータベースへの問い合わせや操作を行うプログラムにパラメータとして