[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_

Size: px

Start display at page:

Download "[投影版]見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策_"

ゆあよどぎみ
4 years ago
Views:

1 見つけられやすい脆弱性とウェブフレームワークに求められるセキュリティ対策 2019 年 8 月独立行政法人情報処理推進機構セキュリティセンターセキュリティ対策推進部熊谷悠平

2 本講演の概要講演内容 l 安全なウェブサイトの作り方を元に 11 の脆弱性を解説 u 脆弱性の内容と対策方法 l フレームワークと共通部品に求められるセキュリティ対策を説明 u 既存のフレームワークでも実装された機能脆弱性とは l ウェブサイトやソフトウェア製品の機能や性能を損なう問題個所 l 放置されるとウイルスの感染活動やウェブサイトの乗っ取り情報漏洩等の被害につながる可能性がある 2

3 目次第一章見つかりやすい 11 の脆弱性第二章フレームワークと共通部品に必要な対策 3

4 第一章見つかりやすい 11 の脆弱性 1.1 IPA への届出状況の脆弱性 1.3 注意すべき脆弱性と対策 4

5 脆弱性届出制度受付分析機関報告された脆弱性関連情報の内容確認検証分析支援機関脆弱性対策情報ポータルセキュリティ対策推進協議会等対応状況等公表ユーザ産総研など脆弱性関連情報通知 Webサイト運営者検証対策実施個人情報の漏えい時は事実関係を公表 IPA では脆弱性情報を取り扱う情報セキュリティ早期警戒パートナーシップを運営発者からの届出を受け付け製品開発者 / ウェブサイト運営者に通知し対策を促す制度 5

6 製品に関する脆弱性の届出状況製品に関する脆弱性の届出件数 (2018) % % 24% 12% XSS CSRF 任意の DLL 読み込みアクセス制限不備認証不備 OS コマンドインジェクションディレクトリトラバーサル DoS オープンリダイレクト SSL サーバ証明書の検証不備 SQL インジェクション権限昇格情報漏洩その他 6

7 ウェブサイトに関する脆弱性の届出状況ウェブサイトに関する脆弱性の届出件数 (2018) 8 XSS 3 2 5% 9% 17% 49% SQL インジェクションアクセス制限不備情報漏洩ディレクトリトラバーサルオープンリダイレクトセッション管理の不備 7

8 第一章見つかりやすい 11 の脆弱性 1.1 IPA への届出状況の脆弱性 1.3 注意すべき脆弱性と対策 8

9 11 の脆弱性 l 安全なウェブサイトの作り方では以下の脆弱性を解説 l IPA に届出が多いものや影響が大きい脆弱性 No. 脆弱性名 1 SQLインジェクション 2 OSコマンドインジェクション 3 ディレクトリトラバーサル 4 セッション管理の不備 5 クロスサイトスクリプティング 6 クロスサイトリクエストフォージェリ 7 HTTPヘッダインジェクション 8 メールヘッダインジェクション 9 クリックジャッキング 10 バッファオーバーフロー 11 アクセス制御や認可制御の欠落ウェブサイトへの影響が大きい見つけられやすい 9

10 第一章見つかりやすい 11 の脆弱性の脆弱性 1.2 IPA への届出状況 1.3 注意すべき脆弱性と対策 10

11 今回解説する脆弱性 p 影響が大きい物 1. SQL インジェクション 2. OSコマンドインジェクション 3. ディレクトリトラバーサル p 見つけられやすい物 1. クロスサイトスクリプティング 2. クロスサイトリクエストフォージェリ 3. アクセス制御の欠落上記や安全なウェブサイトの作り方で紹介した脆弱性が全てではない 11

12 1. SQL インジェクション u SQL 文の構成に問題がある場合不正な SQL 文が入力され攻撃者の任意の処理を実行させられる可能性がある u 入力値のエスケープ処理に不備があることが原因 12

13 1. SQL インジェクション実例検索画面ログイン画面 SQL 文に入力値が入り込む際に特殊記号が含まれないようにする言語や DB のライブラリを使用して適切にエスケープする必要がある DB へのリクエストが生じる箇所に存在過去にはエスケープ回避のため Shift-JIS や base64 エンコードを使用した例も SQL 文の設計 SELECT ~ WHERE uid = $uid ; 過去事例入力例 1 or 1 = 1 常に真 Shift-JIS 1 0x27 or 0x27 1 0x270x3d0x27 1 SELECT ~ WHERE uid = 1 or 1 = 1 ; Base64 MSdvcicxJz0nMQ== 13

14 1. SQL インジェクション対策 l 根本的解決策 SQL 文の組み立ては全てプレースホルダで実装する例 : あらかじめ SQL 構文を設定しておく方式入力値はデータベースやライブラリの処理上値として処理される $result = pg_prepare($conn, "query", 'SELECT * FROM usr WHERE name = $1 ); $result = pg_execute($conn, "query", array( Taro")); SQL 文の組み立てを文字列連結により行う場合はエスケープ処理等を行うデータベースエンジンの API を用いて SQL 文のリテラルを正しく構成する SQL 文を生成する際文字列連結を使用する場合はエスケープ関数を使用して無害化するデータベースによりエスケープが必要な記号が異なるため注意が必要例 : $query = SELECT * FROM usr WHERE name = pg_escape_string($uid) 14

15 2.OS コマンドインジェクション u OS の機能を利用する関数を使用しており外部からの入力値を引数として使用している際サーバの OS に不正な命令を実行させられる可能性がある u シェルを実行できる関数 ( 言語機能 ) が使用されていることが原因 15

16 2. OS コマンドインジェクション実例ファイルアップロードファイル参照メールフォーム等 OS の機能を利用する箇所に存在 exec 等のシェルコマンド実行を行う関数に不正な値が渡されるのが問題例 : PHP:exec, system Perl:eval, open, system 入力例 : ( 以下はメールアドレス欄を想定 ) test@test.com $(cat /etc/passwd /usr/sbin/sendmail test@test.com) 過去事例アップロードファイル名からのインジェクション zip ファイルを解凍する際に exec を使用していたためファイル名を細工することで OS コマンドが実行されてしまう例 : hoge&ping -n 1 localhost&.zip Base64 等へのエンコードによる検査回避例 : file = `data:text/html;base64,phnjcmlwdd5~ 16

17 2. OS コマンドインジェクション対策 l 根本的解決策シェルを起動できる言語機能の利用を避ける外部からの入力値を引数として使用する箇所では exec 関数や open 関数等を使用しない l 保険的対策シェルを起動できる言語機能を利用する場合はその引数を構成するすべての変数に対してチェックを行いあらかじめ許可した処理のみ実行する exec 関数や open 関数を使用する場合は入力値に意図しない OS コマンドが含まれていないかホワイトリスト方式でチェックを行うブラックリスト方式では制限漏れの可能性があるため推奨されない 17

18 3. パス名パラメータを悪用したファイル参照 ( ディレクトリトラバーサル ) u 外部からの入力が可能なパラメータによってファイル名を指定している場合意図しないファイルを参照される可能性がある u 発生する影響はウェブアプリケーションの実装に依存する u 特殊記号やディレクトリの指定を許可する実装が問題 18

19 3. ディレクトリトラバーサル実例入力フォームや URL パラメータが無ければ安全? URL パラメータでのファイル名指定ファイル名のハードコーディング等の実装を行っている個所に存在 POST メソッドなどでブラウザから送信する設計であれば送信内容を改ざんすることで悪用できる場合もあるファイル名のチェックが不十分であることによって発生する例 : file=../../../etc/passwd file=.... windows system32 net+start ディレクトリトラバーサルによる被害内容はウェブアプリケーションの設計による呼び出したファイルをどうするかはウェブアプリケーション側の実装に依存するため 19

20 3. ディレクトリトラバーサル対策 l 根本的解決外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装は避ける HTTP リクエストの値でファイルを指定する設計である限りディレクトリトラバーサルの可能性は残る外部入力を使用したファイル名の指定が必要かプログラムの構成を見直すファイルを開く際は固定のディレクトリを指定しかつファイル名にディレクトリ名が含まれないようにする PHP であれば basename 関数といったファイル名だけを抽出する関数を使用しファイルを参照するディレクトリを移動させない実装を行う 20

21 4. クロスサイトスクリプティング u 入力値を表示するようなページで出力する値のエスケープ処理が不十分な場合意図しないスクリプトを実行させられてしまう可能性がある 21

22 4. クロスサイトスクリプティング実例検索欄 ><hr> と入れると表示が崩れる英語版の表示 English 通常の URL: 英語版の URL: english 英語表示に切り替わる lang=<script>alert( hoge )</script> と送信するとポップアップが表示されてしまう欄やページ上でて取れる動的表箇所がないからと油断してはいけない 22

23 4. クロスサイトスクリプティング対策 l 根本的解決ウェブページに出力するすべての要素に対してエスケープ処理を施すウェブページに出力される値に対し htmlspecialchars 関数等を使用し HTML タグやスクリプトを構成する記号をエスケープする入力された HTML テキストから構文解析木を作成しスクリプトを含まない必要な要素のみを抽出する入力値に対して構文解析を行いホワイトリスト方式で出力を許可するタグやスクリプト等の要素を抽出する HTTP レスポンスヘッダの Content-Type フィールドに文字コードを指定する文字コードを明示的に指定していないとブラウザが文字コードを自動的に判定してしまいエンコードによりエスケープ処理をすり抜けたスクリプトをブラウザ上で表示してしまう可能性がある 23

24 5. クロスサイトリクエストフォージェリ u ウェブサイトにセッション管理の不備等の問題があることで利用者が意図しない操作を実行させられてしまう可能性がある 24

25 5. クロスサイトリクエストフォージェリ実例 l ウェブサイトのセッション管理に不備があることで生じる問題重要な処理を行う際のセッション管理が不十分悪意あるページから遷移させられた際遷移元チェックをしていない l 意図せずパスワードやメールアドレス等の登録情報の変更等につながる掲示板等であれば意図しない投稿をさせられる可能性もクロスサイトリクエストフォージェリを悪用することでログインが必要なページの脆弱性の悪用につながることも 25

26 5. クロスサイトリクエストフォージェリ対策 l 根本的解決処理を実行するページを POST メソッドでアクセスするようにしその hidden パラメータに秘密情報が挿入されるよう前のページを自動生成して実行ページではその値が正しい場合のみ処理を実行する Cookie によるセッション管理では意図したページからのリクエストであるか判別できないそのためランダムな値のトークンを hidden パラメータで送信させ意図しないページからのリクエストでないか判別する処理を実行する前のページで再度パスワードの入力を求め実行ページでは再度入力されたパスワードが正しい場合のみ処理を実行する Referer が正しいリンク元かを確認し正しい場合のみ処理を実行する 26

27 6. アクセス制御や認可制御の欠落ウェブサイトのアクセス制御に問題がある場合権限がないページやファイルを参照できてしまう u 認証が必要な機能に認証が存在しないことや認証を回避できる設計となっている場合不正に情報を参照されたり意図せず機能を利用される可能性がある 27

28 6. クロスサイトリクエストフォージェリ実例管理者認証 s 管理ページには認証があるウェブシステム s 管理ページが使するcgi が存在する管理ページ cgi 単位では認証が存在しなかったら? 認証を行っていない cgi に直接リクエストを送ると認証なしで処理を実できてしまう攻撃者 phpinfo();?> Im hacked 箇所 1 つ 1 つの単位で認証ができているか確認の必要がある 28

29 6. クロスサイトリクエストフォージェリ対策 l 根本的解決アクセス制御機能による防御措置が必要とされるウェブサイトにはパスワード等の秘密情報の入力を必要とする認証機能を設けるパスワードの入力を受け付ける際は不必要にログ等に記録されないように注意しパスワードが必ず暗号化されて保管されるようにする認証機能に加えて認可制御の処理を実装しログイン中の利用者が他人になりすましてアクセスできないようにする認可制御とは各ユーザにどのような操作を許可するかの管理セッション ID やトークン等を窃取し送信するだけで認証を回避できないよう送信元 IP アドレスとの紐づける等の対策を行う 29

30 7. バッファオーバーフロー u プログラムが想定した以上の長さの入力により確保されたメモリ領域を超えて入力値がメモリ上に書き出される問題 u 直接メモリにアクセスできない言語での開発や入力値の長さを制限するといった対策が必要となる 30

31 8. セッション管理の不備 u セッション ID が推測可能であることや他者のセッション ID を使用できてしまう場合第三者に成りすましてログインされる被害の可能性がある u ログイン ID を推測や窃取困難にすることやログイン後に再発行する Cookie 以外のセッション情報を発行する等の対策が必要となる 31

32 9.HTTP ヘッダインジェクション u HTTP ヘッダに改行コード等を不正に挿入することでサーバからのレスポンスを分割し攻撃者の任意の Cookie がキャッシュさせられる等の可能性がある u 外部からの入力をそのままヘッダに入力する設計を避けることが必要となる 32

33 10. メールヘッダインジェクション u メールフォームの宛先が HTML 上に記載されていたり入力欄に改行等が入力できる場合意図しない宛先にメールを送信させられる可能性がある u メール送信処理の際に TOやBccといったヘッダ情報を固定値として処理する実装が必要となる 33

34 11. クリックジャッキング u X-Frame-Options ヘッダの設定が行われていないページが別のページに透過して重ねられることで利用者が意図しない操作をさせられてしまう可能性がある u X-Frame-Options:DENY の設定や設定変更時のパスワード再入力等の対策が必要となる 34

35 安全なウェブサイトの作り方ウェブサイトの運営に関わる全ての人に向けた内容 IPA 安全なウェブ ü 11 種類の脆弱性の説明とその対策を説明 ü 運用面からのウェブサイト全体の安全性を向上させるための方策を説明 ü 7 版からパスワードの運用方法の内容を拡充 ü ウェブセキュリティの対策状況を把握ができるチェックリストつき 35

36 参考 : 脆弱性体験学習ツール AppGoat 脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で学べるツールどんなことが出来るの? 攻撃者視点脆弱性の内容を学習仮想環境に埋め込まれた脆弱性を攻撃開発者視点脆弱性の対策方法を学習仮想環境に埋め込まれた脆弱性を修正詳しくは IPA AppGoat 36

37 目次第一章見つかりやすい 11 の脆弱性第二章フレームワークと共通部品に必要な対策 37

38 フレームワークのセキュリティ対策 l ウェブアプリケーションフレームワークが行うべきセキュリティ対策 1. 製品開発者として実施すべき対策製品に脆弱性を作りこまないこと 2. 製品利用者が安全に利用するための対策ウェブサイトセキュリティのための機能 ( エスケープ処理やセッション管理等 ) を提供すること 38

39 1. 製品に脆弱性を作りこまないこと (1) l 製品の提供前に脆弱性検査を行うこと開発工程でのセキュリティ診断の実施意図しない動作が発生しないか確認脆弱性診断ツールを使用した検査診断の自動化入力パターン診断箇所の拡大専門家への相談製品の公開前にテストしてもらう等 39

40 1. 製品に脆弱性を作りこまないこと (2) l デバッグ用の機能についても検査が必要デバッグ用の機能を実運用でも使用することやデバッグモードで運用してしまい被害が生じる場合があるデバッグ用の関数やデバッグモード時に有効になる機能に脆弱性が存在したテスト用ページが存在する場合実運用に入る際に削除が漏れてしまった例がある DB へのアクセスを確認するページ等実際の運用には必要がないページの削除漏れ例 : JVN# ADOdb におけるクロスサイトスクリプティングの脆弱性 40

41 1. 製品に脆弱性を作りこまないこと (3) l 脆弱性が発見された場合は速やかに修正等の対応と公表を実施すること特にフレームワークでは利用者が独自に対応を行うことが困難速やかに修正バージョンを公開することが望ましい修正に時間がかかる場合はワークアラウンドを公開フレームワークのアップデートには時間がかかる場合がありアップデートまでの間に被害が生じる可能性がある 41

42 参考 :Apach Struts2 の脆弱性被害 s 近年の傾向として利率がい製品の脆弱性は極めて短期間に攻撃に悪される日付時間事象 2017 年 3 月 6 日 19 時ごろ Apache より S2-045 に関する情報が公開される 2017 年 3 月 7 日午前中国のウェブサイトで PoC が公開される 2017 年 3 月 7 日 13 時ごろ中国国内で攻撃を検知 2017 年 3 月 7 日 17 時ごろ日本国内で攻撃を検知 2017 年 3 月 7 日 21 時ごろ Apache より修正バージョンが公開される 2017 年 3 月 8 日 5 時ごろ保険特約料支払いサイトへの攻撃が発生 2017 年 3 月 8 日 11 時ごろ JPCERT/CC より早期警戒情報を公開 2017 年 3 月 8 日 14 時ごろ IPA より注意喚起情報を公開 2017 年 3 月 8 日 17 時ごろ都税支払いサイトへの攻撃が発生 2017 年 3 月 8 日 21 時ごろ Apache より修正バージョンのアナウンスメール送信 2017 年 3 月 9 日午前 JPCERT/CC が注意喚起を公表 2017 年 3 月 9 日 18:00 GMO-PG が S2-045 を把握対象サイトの調査を開始 2017 年 3 月 9 日 20:00 GMO-PG にて対象となるシステムの洗い出しが完了 2017 年 3 月 10 日 0:30 ( 日時は日本時間 ) GMO-PG にて保険特約料支払いサイトと都税支払いサイトへの不正アクセス発生を確認情報公開への注意と迅速な修正版の公開が必要 42

43 2. ウェブサイトセキュリティのための機能を提供すること (1) l エスケープ処理やセッション管理等の機能を提供するエスケープ処理やセッション管理等は重要機能であるため標準の機能として提供される方が良い過去には誤った対策としてエスケープ処理やセッション管理をウェブページの Java Script により実装していた例があるブラウザの開発者ツール等で簡単に回避できてしまうウェブアプリケーション開発者がエスケープ処理等の機能の必要性を理解していないことも原因機能や関数の存在と必要性についてマニュアル等で周知を行うことも対策の一つ 43

44 2. ウェブサイトセキュリティのための機能を提供すること (2) l エスケープ処理はフレームワーク利用者がアプリケーション側でやるべきとの見解もエスケープ処理の対策をフレームワークが担当するかウェブアプリケーションが担当するべきか明確な基準が存在しないしかしどのような入力値の場合異常な処理が発生するか利用者が完全に把握することが出来ないセキュリティ対策では複数の対策により被害を防止することが重要単一の対策ではなく複数の対策手段を実施出来ることが望ましい例 : ウェブアプリケーションでの入力値検査を回避された場合でもフレームワーク側での出力値検査で遮断する 44

45 2. ウェブサイトセキュリティのための機能を提供すること (3) l デバッグ用関数等では設計上脆弱性を排除できないことも考えられる実運用よりも詳細なログを取得する等の理由でよりクリティカルな設計をする必要がある場合等例 : ファイルサイズの計測やメモリの解放などで OS のコマンドラインの呼び出しが必要な関数 l マニュアルに危険性を記載し実運用では使用しないよう注意喚起するデバッグモード等のまま運用することの危険性を周知するウェブアプリケーション開発時にチェックすべき項目を公開する危険性が利用者に伝わらなければ利用者は対処できない 45

46 2. ウェブサイトセキュリティのための機能を提供すること (4) l 各フレームワークで実際に使用されているセキュリティ機能例 Apache Struts2 SessionAware インターフェースセッション管理のための Struts2 標準の機能 TokenInterceptor クラストランザクショントークンを検査するための標準の機能エスケープ処理はテンプレートエンジンやライブラリにて提供 Spring Framework Spring Security 認証認可やセッション管理機能を提供するフレームワークエスケープ処理はテンプレートエンジンやPHP 関数にて提供 46

47 2. ウェブサイトセキュリティのための機能を提供すること (5) l 各フレームワークで実際に使用されているセキュリティ機能例 Ruby on Rails session 関数セッション管理のための Rails 標準の機能 form_authenticity_token 関数 CSRF トークンの機能を提供する Rails 標準の機能ページ上への表示では Rails の view アーキテクチャが自動的にエスケープ処理を行う SQL 等の入力は sanitize_sql_like 関数等のエスケープ処理が提供されている 47

48 まとめ l 11 の脆弱性について脅威度が高い SQL インジェクションや OS コマンドインジェクション発見されやすいクロスサイトスクリプティング入力値を直接ページに出力していることや関数への入力値を適切にエスケープしていないことが主な原因 l フレームワークに必要な対策開発者 : 脆弱性を作りこまない利用者向け : セキュリティ対策のための機能を提供する脆弱性が発見された場合は速やかな修正ワークアラウンドの公開が必要利用者がウェブフレームワークを安全に利用するためには開発者が利用者と目線を合わせて開発提供することが必要です 48

WEBシステムのセキュリティ技術

WEBシステムのセキュリティ技術 WEB システムのセキュリティ技術棚橋沙弥香目次今回は開発者が気をつけるべきセキュリティ対策として以下の内容についてまとめました SQLインジェクションクロスサイトスクリプティング OSコマンドインジェクションディレクトリトラバーサル HTTPヘッダインジェクションメールヘッダインジェクション SQL インジェクションとは 1 データベースと連動した Web サイトでデータベースへの問い合わせや操作を行うプログラムにパラメータとして