かんたんな自己紹介

Size: px

Start display at page:

Download "かんたんな自己紹介"

ゆめじかみこ
5 years ago
Views:

1 Dreamweaver 使いが知っておきたいセキュリティ株式会社ビジネスアーキテクツ太田良典

2 かんたんな自己紹介

3 私の所属株式会社ビジネスアーキテクツ (ba) 大規模企業サイトの構築を得意とする戦略から設計実装までお付き合いしますただ言われたとおりページを作るだけではない 3

4 仕事でやっていることマークアップデザインエンジニア HTML や CSS の設計ガイドライン弊社内では変な HTML を書くと私に怒られるという都市伝説がある Web アクセシビリティ企業のアクセシビリティ指針策定ユーザビリティサイト設計 / UI 設計 / 情報設計諸々 4

5 こっそりやっていること脆弱性の発見と届出経済産業省の情報セキュリティ早期警戒パートナーシップの制度を利用していろいろ届出 5

6 届出の例それなりに報道されたりしたケースも 6

7 届出件数届出件数 : たぶん 150 件くらい国内の届出は約 1000 件なのでシェア約 15% ウェブアプリケーションの届出に絞るとシェア 20% 超第 2 回 IPA 賞 ( 情報セキュリティ部門 ) 受賞理由 : 届出件数日本一受賞したりしている時点でもうこっそりではなくなっていますが 7

8 本題の前に

9 おねがい情報を不正アクセスから守るためには攻撃側の手法を知る必要がありますそのためこの話の中にも攻撃手法の解説が出てきますが絶対に悪用しないでください不正アクセス行為は法令によって処罰されることがあります 9

10 本題

11 お話の流れ DreamweaverのPHPサンプル脆弱性とは? 脆弱性事例の紹介おわりに 11

12 Dreamweaver の PHP サンプル

13 13

14 できました! 14

15 入力してみると 15

16 表示されました 16

17 サンプルフォームの問題その 1

18 もっとコメントしてみる 18

19 拡大 19

20 表示されましたが 20

21 何かがおかしい 21

22 そのときのソース 22

23 拡大 <table> がそのままソース中に出力されているこれが table 要素の開始タグとして解釈された本当は <table> という文字を表示してほしかった 23

24 サンプルフォームの問題その 2

25 こんなことを書いてみる 25

26 拡大 26

27 異変が!! 27

28 そのときのソース今度は <script と書き込まれている script 要素として解釈されてしまい alert() がスクリプトとして実行された任意のスクリプトを書き込むことが出来てしまう 28

29 alert() が出るだけなら害はない? alert() が回実行されたらどうかダイアログが出ているとブラウザを閉じることもできない俗に言うブラクラ利用者の Cookie を読み取って別のサイトに送ることもできる Cookie にセッションID が含まれていた場合漏洩するとセッションハイジャックの危険がある 29

30 サンプルフォームの問題その 3

31 今度はこう書いてみる 31

32 拡大 32

33 そのときのソース今度は <iframe と書き込まれている属性によって幅高さ共に 100% に設定すると 33

34 その結果 34

35 結論 Dreamweaver のチュートリアルで作られるサンプルフォームは悪用される危険があるサンプルフォームをそのまま公開する人はいないと思いますが同じような作り方をしてしまうと危険これはクロスサイトスクリプティング脆弱性と呼ばれる問題 35

36 修正する

37 原因入力された文字をそのまま出力している < が入力されてもそのまま出力 < はタグの開始区切り子として使用される文字 < が入力されると HTML のマークアップとして解釈されてしまう 37

38 対策 HTML のマークアップとして解釈されるおそれがある文字を出力しない 3 つの方法文字を削除する文字を置き換えるエスケープする 38

39 文字を削除する < を削除してしまう方法 <table> が table> が利用者が意図した表示にならないことがあるコメントに < が含まれることはあり得るたとえばプログラムの話題 if (a <= 0) と書くと if(a = 0) と表示されてしまう HTML の話題にも支障が出る 39

40 文字を置き換える < を別な文字に置き換えてしまう方法たとえば全角の < <table> が <table> がいちおう表示されるがやはり利用者が意図した表示にならないことがあるかっこ悪い 40

41 文字をエスケープする文字参照を使用すると < をマークと認識されないように表示することができる文字実体参照 < 数値文字参照 < もしくは > 文字実体参照を使用するのが一般的利用者の入力したままが表示される 41

42 修正対応文字をエスケープするのが望ましい PHP の場合エスケープのための関数 htmlspecialchars() が用意されている以下を変換 < < > > " & & 42

43 コードの修正

44 44

45 修正箇所 echo で値をそのまま出力している 45

46 修正後 htmlspecialchars() を追加 46

47 使用前使用後 47

48 脆弱性とは?

49 ぜいじゃくせいきじゃくせい ( 危ではありません ) だじゃくせい ( 惰? あまり似ていませんが ) もうじゃくせい ( もはや誤読の原因不明 ) 49

50 経済産業省告示第二百三十五号ソフトウエア等脆弱性関連情報取扱基準 1. 脆弱性ソフトウエア等においてコンピュータウイルスコンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所ウェブアプリケーションにあってはウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような安全性が欠如している状態を含む 50

51 脆弱性まとめ読みはぜいじゃくせい情報セキュリティの分野ではソフトウェアなどのセキュリティ上の問題点を指すセキュリティホールも同義ソフトウェアの脆弱性のほか Web アプリケーションの脆弱性というものもある 51

52 ソフトウェアの例 : OS 52

53 ソフトウェアの例 : ワープロソフト 53

54 Web アプリケーションの例 54

55 届出件数出典 : 独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 有限責任中間法人 JPCERTコーディネーションセンター ( 55

56 脆弱性の印象と実際ニュース等で目にするのはソフトウェアの脆弱性の方が多いしかし実際には Web アプリケーションの脆弱性の方がたくさん発見されている 56

57 脆弱性事例の紹介

58 事例 1 : TBC のケース ~ フォースフルブラウジング ~

59 59

60 事件の概要

61 61

62 アクセスしてみると書き込みにある URL にアクセスするとファイル一覧が表示された 62

63 ファイル一覧の例 ( 別のサイト ) 63

64 そして一覧を見ていくと多数の CSV ファイルを発見 CSV ファイルにアクセス制限などはなく誰でもアクセスできたさまざまなデータが格納されていたアンケートのデータ求人応募のデータ etc. 64

65 手法の解説フォースフルブラウジング

66 フォースフルブラウジングとは無理やり (forceful) 閲覧 (browsing) 閲覧されることを意図していないものを強制的に閲覧する手法 66

67 具体的な方法ブラウザのアドレスバーに URL を入れる以上 67

68 フォースフルブラウジングの原理ブラウザのアドレスバーに URL を入れればその URL にアクセスできるあたりまえですがどこからもリンクされていない URL であっても管理者がアクセスされることを想定していない URL であっても自由にアクセスできるリンクされていないから見られないはずという判断は NG 68

69 注意点

70 注意点公開ディレクトリに重要なデータファイルを置かないこと!! 特に CGI プログラムの設計時に注意サーバ移行時の罠にも要注意今までは見られなかったディレクトリが cgi-bin にも置かないほうが良い 70

71 Dreamweaver の場合 71

72 事例 2 : カカクコムのケース ~ SQL インジェクション ~

73 73

74 事件の概要

75 75

76 事件の経緯 (1) アンチウイルスソフト NOD32 のユーザがサイトにアクセスするとウイルス警告が表示されたサイトトップページがひそかに改竄されウイルスが仕込まれていたことが判明のちにユーザのメールアドレス約件が漏洩していたことも判明 76

77 事件の経緯 (2) 中国からの留学生が逮捕されカカクコムへの不正アクセスを認めるただしこの留学生は閉鎖の直接原因ではない閉鎖の原因となった攻撃の犯人は不明以前から大量の不正アクセスが行われていた模様実際には単一の犯人ではなく入れ替わり立ち代わり異なる犯人による小規模のハッキングを受けてきたことが明らかになってきた備える心が大事カカクコムのインシデントから得られた教訓 77

78 その後カカクコムは事件の詳細を公表していない報道インタビューその他の情報によれば SQL インジェクションによるものだったと言われている 78

79 手法の解説 SQL インジェクション

80 SQL インジェクションとは SQL = Structured Query Language データベースに問い合わせを行うための言語 Injection = 注射注入 SQL 文の中に悪意あるデータを注入することで SQL 文の内容を改竄する手法 80

81 起きることの例不正なログイン本来は取得できないはずのデータを取得データの消去データの改竄サーバ上で任意のコマンドを実行 xp_cmdshell 拡張ストアドプロシージャ何でもありとてつもなく危険 81

82 SQL インジェクションの原理

83 SQL 文の例 SELECT * FROM user WHERE user= admin AND pass= root SELECT * FROM user user という名前のテーブルから全データを取得 WHERE user= admin AND pass= root user, pass の値が特定の条件を満たすものに絞り込む結果 user が admin で pass が root になっているレコードのデータだけが得られる 83

84 ところで SELECT * FROM user WHERE user= admin AND pass= root ユーザがフォームから入力した値は ( 単引用符シングルクォート ) で括られた状態で SQL 文に入ってくる 84

85 単引用符を入れてみると SELECT * FROM user WHERE user= Let s Note AND pass= 入力されたのが引用符だったため引用符の対応関係がおかしくなっているちなみに Let s Note とする必要があります結果不正な SQL 文となってエラー 85

86 さらに SELECT * FROM user WHERE user= OR 1==1-- AND pass= -- の後ろはコメントとみなされて無視されるため以下の SQL 文と等価になる SELECT * FROM user WHERE user= OR 1==1 86

87 その結果 SELECT * FROM user WHERE user= OR 1==1 これは user= が成立するかあるいは 1==1 が成立するレコードを取ってくる 1==1 は常に成立するので全てのレコードが取得できる非常にまずい感じの誤動作 87

88 注意点

89 注意点プログラム中で SQL 文を組み立てたりしないのがベスト Prepared Statement によるバインドメカニズムを使用するそれが無理なら確実にエスケープする DB に応じてさまざまな変換関数があるたとえば mysql_real_escape_string() しかしいろいろ難しい 89

90 Dreamweaver の場合 90

91 事例 3 : Yahoo! メールのケース ~クロスサイトスクリプティング ~

92 92

93 ログイン後 Web 上でメールを読んだり書いたりできる HTML メールも表示できる 93

94 事件の概要

95 事件 1 : フィッシング普通はアドレスバーを見たりすれば偽サイトを識別できるしかし本物サイト上でフィッシングを行う巧妙な手口が出現 95

96 事件 2 : ウイルスメール Yahoo! メールを狙ったウイルスメールが発生 96

97 手法の解説クロスサイトスクリプティング

98 フィッシングの手口攻撃者はスクリプトを含む HTML メールを送信メールを表示すると攻撃者のスクリプトが実行されページの内容がひそかに改竄される iframe 要素が挿入され yahoo! メールの本物サイトの中に攻撃者の用意したコンテンツが表示されたブラウザのアドレスバーの URL は本物のまま 98

99 ウイルスメールの手口メールを開くとやはりスクリプトが実行されるそして自動的に他のユーザにメールを送信してしまうそのメールにもやはりスクリプトが増殖 99

100 何故スクリプトが動いた? 通常 HTML メールに含まれるスクリプトは実行されないようにする必要がある Yahoo! メールでも原則としてスクリプトは実行されないような処理をしていたしかしその処理に欠陥がありスクリプトが実行されてしまった 100

101 クロスサイトスクリプティングとは Cross Site Scripting / XSS CSS と略すと Cascading Style Sheet と混同されるので XSS と呼ぶウェブサイト上に外部からスクリプトを挿入されそのスクリプトが動作してしまうこと攻撃者の用意したスクリプトがターゲットのドメイン上で実行される広義にはスクリプトを含んでいない HTML の改竄も含む 101

102 何がまずいのか普通スクリプトで別ドメインのコンテンツを操作することはできない XSS 脆弱性があるとターゲットのドメイン上でスクリプトが動くのでさまざまな攻撃ができてしまうフィッシング不正な操作 ( ウイルスメール送信 ) Cookie 読み出しによるセッションハイジャック 102

103 注意点

104 注意点外部から入力された値をそのまま HTML に出力しないこと! 文字参照に変換すればだいたい OK < < > > " & & PHP の場合 htmlspecialchars() addslashes() では駄目! ( というか意味が無い ) 文脈によってはさらに難しい場合も 104

105 特に難しい場合 HTML メールを安全に表示するのは非常に難しい!! スクリプトが動作するような記述は無数にあるがその全てを考慮する必要があるイベントハンドラ javascript: スキーム url() ブラウザの挙動まで考慮する必要がある expression() 全角の expression () 105

106 Dreamweaver の場合 106

107 おわりに

108 知っておいてほしいこと Dreamweaver を使うと PHP のアプリケーションがとても簡単に作れるしかし安全に動くものを作るとなると必ずしも簡単ではない脆弱性のあるアプリケーションを公開し悪用されると大変なことが起きる公開するアプリケーションは安全性に注意して実装するべき 108

109 おすすめサイト ( 技術情報 ) 安全なウェブサイトの作り方改訂第 2 版 html IPA ISEC セキュアプログラミング講座 or/programming/ SecurIT 産業技術総合研究所グリッド研究センターセキュアプログラミングチーム 109

110 昨日の常識は今日の非常識次々に発覚する脆弱性どんどん出現する新手法時代の変遷手法の変遷常に最新情報を追う必要がある 110

111 どうやって情報を集めるか主に Web サイトやはり Web サイトの方が情報が早い Web のセキュリティに関してはそもそも Web サイトが一次情報源であることが多いセキュリティ系 IT ニュース系のサイトをこまめにチェックするのが吉 111

112 おすすめサイト ( 最新情報 ) セキュリティホール memo memo/ いろいろな情報を網羅他サイトへのリンクが中心興味が出てきたら少しずつリンク先のサイトをチェックするようにすると良い 112

113 ありがとうございました

WEBシステムのセキュリティ技術

WEBシステムのセキュリティ技術 WEB システムのセキュリティ技術棚橋沙弥香目次今回は開発者が気をつけるべきセキュリティ対策として以下の内容についてまとめました SQLインジェクションクロスサイトスクリプティング OSコマンドインジェクションディレクトリトラバーサル HTTPヘッダインジェクションメールヘッダインジェクション SQL インジェクションとは 1 データベースと連動した Web サイトでデータベースへの問い合わせや操作を行うプログラムにパラメータとして