スライド 1

Size: px

Start display at page:

Download "スライド 1"

けいしょうすわ
5 years ago
Views:

1 セキュアプログラミング講座 (Web アプリケーション編 ) ブートアップセミナー技術本部セキュリティセンター企画グループ 1

2 アジェンダ 1. Web アプリケーションの概念 2. SQL 注入 3. スクリプト注入 (XSS) 4. セッションメカニズムとユーザ認証についての基礎 5. セッションハイジャック 6. セッションフィクセーション 7. アクセス認可の実装 8. 他の論点の学習方法 2

3 1. Web アプリケーションの概念 3

4 セキュアプログラミング講座 4

5 Web アプリケーション 5

6 使われるプログラミング言語の例 6

7 攻撃は通信から入ってくる 7

8 HTTP プロトコルについて知ろう 8

9 HTTP の通信を観察する 9

10 HTTP 通信の観察 : 例えばこのページ引用 : 独立行政法人情報処理推進機構のホームページ 10

11 HTTP リクエスト ( 簡略化のため正確さを犠牲にしているところがあります以下同様 ) 11

12 HTTP レスポンス 12

13 サーバへ値を送る : POST メソッド引用 : 日本郵便株式会社のホームページ 13

14 POST メソッド HTTP リクエストパラメータ群 14

15 HTTP レスポンス検索結果 15

16 舞台裏は単純なテキストのやり取り 16

17 Web アプリケーションの概念まとめ Web アプリケーションブラウザサーバ側プログラム攻撃は両者の間の通信から入ってくる HTTP プロトコルリクエストとレスポンスローカルプロキシによる観察舞台裏は単純なテキストのやり取り GETメソッドと POSTメソッド 17

18 2. SQL 注入 18

19 攻撃の流れ SQL 注入 19

20 SQL 注入の被害情報流出 DBテーブル内容を読み出される DB 定義 ( テーブル名カラム名 ) を知られる稼働しているRDBMSの種類やバージョンを知られる情報改ざん DB テーブルの内容を不正に更新されるデータ破壊 DB テーブルの中を無意味なデータで塗りつぶされるサーバ乗っ取りサーバコンピュータを遠隔から操られる何でもあり 20

21 攻撃のメカニズム SQL 注入プログラマが用意した SQL 文のかたち update tbl set pass='xxx' where user='yyy' and pass='zzz' +) 攻撃者が与えるデータの例 zzz ' or 'a'='a 想定外の SQL 文が実行される DB 改ざん update tbl set pass='xxx' where user='yyy' and pass=' ' or 'a'='a ' 21

22 テーブルの改ざんパスワードのカラムがすべて書き換わる 22

23 悪さをする特殊記号 ' 文字列を囲む記号 ; (Microsoft SQL Server, PostgreSQL 等 ) 複数の SQL 文を区切るための記号 -- コメントの記号この記号から先は無視される (MySQL, PostgreSQL 等 ) 特殊記号の意味を無くしたり特別な文字を定義する記号 23

24 SQL 注入対策 SQL 文の発行を半自動化してくれる道具を使うよい道具 O/Rマッパ言語に統合されたクエリ (LINQ PL/SQL) プリペアドステートメント次善の策特殊記号をエスケープしてくれる API (quote 等 ) 24

25 O/R マッパ 25

26 O/R マッパの例フレームワーク O/R マッパ Ruby on Rails ActiveRecord ( 付属 ) Grails GORM ( 付属 ) CakePHP Model クラス階層 ( 付属 ) Spring 別製品 : Hibernate S2JDBC 等 26

27 SQL 注入まとめ SQL 文を発行してデータベースへアクセスする箇所の問題部外者にデータベースを勝手にアクセスされる対策のポイント SQL の構文 (expression) を攻撃者にいじられない手段を用いる O/R マッパ言語統合クエリプリペアドステートメント等 27

28 3. スクリプト注入 (XSS) 28

29 スクリプト注入の典型的な攻撃例 (XSS) 29

30 スクリプト注入 (XSS) の被害スクリプト注入 (XSS) による偽ページアドレスバーは本物表示はニセモノフィッシング詐欺に悪用されるおそれセッション乗っ取り Cookie の盗み出し Cookie の植え付け 30

31 攻撃のメカニズムスクリプト注入プログラマが計画する Web ページ出力 <input type="text" name="foo" value="xxx"> +) 攻撃者が与えるデータの例 xxx "><script>document.location = " + document.cookie</script> ブラウザを攻撃するスクリプトが動く <input type="text" name="foo" value=" "> <script>document.location = " + document.cookie</script> "> 31

32 値の出力箇所と攻撃パターン 32

33 対策 1: 攻撃者由来の <script> タグを無害化無害化サニタイズとも HTML ページの中に書き出したデータがタグやスクリプトとして機能しないようにする方法 : 特殊記号の置き換え (HTML エンコード ) < < > > " " ' ' & & 33

34 対策 2: タグの URI 属性の無害化対策 : URI スキームを検査する http: あるいは https: で始まる URI 文字列のみ許す href= src= などの属性 <a href=" "> <body background=" "> <img src=" "> <input type="image" src=" "> <meta http-equiv="refresh" content="0;url= "> 等次のような形でスクリプトが書けてしまう href="javascript:document.cookie=' ';" src="j avascript:document.location=' ';" src='vbscript:navigate(" ")' 34

35 スクリプト注入のバリエーションサーバからおうむ返しされる XSS( 今回紹介 ) 蓄積されたデータを経由するスクリプト注入クライアント側コードに起因するスクリプト注入 35

36 スクリプト注入まとめサーバ側から値を出力している箇所の問題ブラウザに悪意のスクリプトが入り込む対策 <script> タグの無害化タグの URI 属性の無害化 36

37 4. セッションの基礎とログインセッション 37

38 HTTP リクエストが複数エンティティより寄せられる 38

39 どう見分けるか? 39

40 しるしごとに文脈を保つ文脈 = さっきどこまで話したっけ 40

41 セッション ID を運ぶ手段 41

42 Set-Cookie: と Cookie: 42

43 ログインセッションログイン状態を維持するセッションユーザ認証 (Authentication) との組み合せセッションIDにユーザ認証済みの意味をもたせるアプリケーションにおいて実装する必要性処理系は自動的には面倒をみてくれないセッションハイジャックの脅威セッション ID が攻撃の標的になる 43

44 セッション機構とユーザ認証まとめ HTTP リクエストが複数エンティティから寄せられるリクエストにしるしを含ませるサーバにおいてはしるしごとに文脈を保つセッション ID を運ぶ手段 Cookie / POST データ (hidden 項目 ) / URL リライティング Cookie のためのヘッダ Set-Cookie: と Cookie: ログインセッションユーザ認証セッション機構によってログイン状態を維持 44

45 5. セッションハイジャック 45

46 セッションハイジャック攻撃の流れ 46

47 セッションハイジャックの被害本人のログインセッションへ他人が侵入本人になりすましたシステム操作情報漏洩金銭被害業務妨害等 47

48 ログインセッションの悪い例 48

49 セッションハイジャック対策推測への対抗予測困難なランダム値を使うログイン ( ユーザ認証 ) 成功のたびに異なる値を使う奪取への対抗 TLS を使用する Cookie に secure 属性をつける Cookie の寿命を短めにするログイン成功時にセッション ID を発行し直す 49

50 セッションハイジャックのポイントセッション ID の発行と運用にかかわる問題他者がセッションへ侵入してくる対策推測への対抗奪取への対抗 50

51 6. セッションフィクセーション ( セッション ID のお膳立て ) 51

53 セッションフィクセーションの被害セッションハイジャックと同様の被害本人のログインセッションへ他人が侵入本人になりすましたシステム操作情報漏洩金銭被害業務妨害等 53

54 対策 : セッション ID の付け替え 54

55 セッションフィクセーションのポイントユーザのセッション ID は誰かにお膳立てされたものかもしれない対策 : ログイン成功時にセッション ID を新しくする 55

56 セッションへの干渉まとめセッションハイジャック正規ユーザのセッション ID を盗用するセッションフィクセーション攻撃者が取得したセッション ID を被害者に使わせる 56

57 7. アクセス認可の失敗 57

58 アクセス認可 (Authorization) の失敗パターン 1. メニューに無いページへアクセスできるページへのリンクをメニュー画面から隠すのみ 2. 他者が所有するデータにアクセスできる各ユーザの所有する情報が連番のキーでアクセスできる GET /mydata?id=104 失敗のバリエーション入力パラメータでユーザを識別する hidden 項目によって権限フラグを受け渡す Referer: ヘッダを見て直前のページの妥当性を判断する 58

59 1. メニューに無いページへアクセスできる 59

60 2. 他者のデータにアクセスできる 60

61 1. 対策 : 各ページに保護を置く 61

62 2. 対策 : オブジェクトのオーナを確かめる 62

63 一般化 : 要求を遮断できるコードを置く 63

64 PEP: ポリシー執行ポイントアクセス制御の執行ポイント Policy Enforcement Point URIで識別されるすべてのページに設置アクセス認可の判定結果を執行保護すべき Web リソースそれぞれのWebページ識別番号 (ID) を用いてアクセスされるオブジェクト問い ( アクセス認可の判定 ) いまログインしているユーザはその対象へアクセスする権限をもつか? 64

65 アクセス認可の失敗まとめ Web ページはどれも直接呼び出せるオブジェクト ID による一本釣りができてしまう対策 : PEP すべての Web ページに保護を配置するページへのアクセス権限をユーザはもっているか? オブジェクト ( パラメータ ) へのアクセス権限をユーザはもっているか? 65

66 8. 他の論点の学習方法 66

67 セキュアプログラミング講座 Web アプリケーション編 67

68 セキュアプログラミング講座 C/C++ 言語編 68

69 参考 URI (1) セキュアプログラミング講座 RFC Hypertext Transfer Protocol -- HTTP/1.1 RFC HTTP State Management Mechanism Cookie について OWASP ZAP ローカルプロキシローカルプロキシのひとつ 69

70 参考 URI (2) Ruby on Rails ( 英語 ) Grails ( 英語 ) CakePHP Spring Framework ( 英語 ) 70

内容 ( 演習 1) 脆弱性の原理解説基礎知識脆弱性の発見方法演習 1: 意図しない命令の実行演習解説 2

内容 ( 演習 1) 脆弱性の原理解説基礎知識脆弱性の発見方法演習 1: 意図しない命令の実行演習解説 2 AppGoat を利用した集合教育補助資料 - クロスサイトリクエストフォージェリ編 - 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター内容 ( 演習 1) 脆弱性の原理解説基礎知識脆弱性の発見方法演習 1: 意図しない命令の実行演習解説 2 クロスサイトリクエストフォージェリ (CSRF) とは? CSRF(Cross Site Request Forgeries)=