SQLインジェクション対策再考 - PDF 無料ダウンロード

安全な SQL の呼び出し方 HASH コンサルティング株式会社徳丸浩 Twitter id: @ockeghem 1

リテラルとは独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 5

文字列リテラルのエスケープと SQL インジェクション以下の SQL SELECT * FROM employee WHERE name = '$name' O'Reilly を検索したい場合単に文字列連結でパラメータとして与えると以下のように Reilly がリテラルをはみ出す SELECT * FROM employee WHERE name = 'O'Reilly' はみ出した部分は SQL 文として意味をなさないのでエラーになるがエラーにならないように入力を調整することも可能これが SQL インジェクション $name = "';DELETE FROM employee--" とした場合 SQL 文は以下となる SELECT * FROM employee WHERE name = '';DELETE FROM employee--' リテラルをはみだすことを防ぐには以下のようにシングルクォートを重ねる SELECT * FROM employee WHERE name = 'O''Reilly' Copyright 2012 HASH Consulting Corp. 6

数値リテラルのエスケープと SQL インジェクション以下の SQL について $id は整数型 SELECT * FROM employee WHERE id = $id $id="123abc" とすると abc の部分が数値リテラルからはみ出す SELECT * FROM employee WHERE id = 123abc はみ出した部分は SQL 文として意味をなさないのでエラーになるがエラーにならないように入力を調整することも可能これが SQL インジェクション $id= "1;DELETE FROM employee" とした場合 SQL 文は以下となる SELECT * FROM employee WHERE id = 1;DELETE FROM employee リテラルをはみだすことを防ぐには数値リテラルであることを確実にするバリデーションあるいは整数へのキャスト SELECT * FROM employee WHERE name = 1 Copyright 2012 HASH Consulting Corp. 7

SQL の呼び出し方 SQL に動的なパラメータを埋め込む方法には 2 種類ある (1) 文字列連結による SQL 文組み立て $name =...; $sql = "SELECT * FROM employee WHERE name='". $name. "'"; $name をエスケープしていないので SQL インジェクション脆弱性あり (2) プレースホルダによる SQL 文組み立て PreparedStatement prep = onn.preparestatement( "SELECT * FROM employee WHERE name=?"); prep.setstring(1, " 山田 "); プレースホルダには 2 種類ある ( 静的動的 ) Copyright 2012 HASH Consulting Corp. 9

静的プレースホルダ独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html SQL とパラメータは別々にサーバーに送られるパラメータ抜きで SQL は構文解析されるパラメータは後から割り当てられる SQL インジェクション脆弱性の可能性が原理的になくなる Copyright 2012 HASH Consulting Corp. 10

動的プレースホルダ独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html SQL とパラメータは呼び出し側でエスケープ連結されるデータベースサーバー側は組み立てられた文字列を SQL として実行するだけライブラリにバグがなければ SQL インジェクション脆弱性は発生しない Copyright 2012 HASH Consulting Corp. 11

SQL の組み立て方と SQL インジェクションの可能性の関係独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 文字列連結による組み立てはアプリケーション開発者の無知や不注意により SQL インジェクション脆弱性の可能性がある動的プレースホルダはライブラリのバグにより SQL インジェクション脆弱性の可能性がある静的プレースホルダは原理的に SQL インジェクション脆弱性の可能性がない Copyright 2012 HASH Consulting Corp. 12

文字列連結による SQL 組み立てを安全に行うには文字列連結による SQL 組み立て時のパラメータの要件文字列リテラルに対してはエスケープすべき文字をエスケープすること数値リテラルに対しては数値以外の文字を混入させないこと意外に面倒データベースによってエスケープすべきメタ文字が異なるオプションによってもエスケープすべきメタ文字が異なる Perl PHP 等では quote メソッドが便利 Perl DBI PHP Pear::MDB2 PDO quote メソッドはデータベースの種類や設定に応じたエスケープをしてくれるはず例外 ( バグ? 仕様?) もある Copyright 2012 HASH Consulting Corp. 14

文字列リテラルのエスケープどの文字をエスケープするのか? SQL 製品の文字列リテラルのルールに従う ISO 標準では ' '' MySQL と PostgreSQL は ' '' NO_BACKSLASH_ESCAPES=on の場合は ISO 標準と同じ方法になる PostgreSQL の場合は standard_conforming_strings および backslash_quote の影響を受ける standard_conforming_strings=on の場合は ISO 標準と同じ方法になる PostgreSQL9.1 以降で standard_conforming_strings=on がデフォルトに backslash_quote の場合は ' ' というエスケープがエラーになる元の文字エスケープ後 Oracle MS SQL IBM DB2 MySQL PostgreSQL または ( を推奨 ) Copyright 2012 HASH Consulting Corp. 15

MySQL と PostgreSQL でのエスケープが必要な理由 SELECT * FROM XXX WHERE ID='$id' $id として 'or 1=1# が入力されると 'or 1=1# エスケープ ( のエスケープをしない場合 ) ''or 1=1# 元の SQL に適用すると SELECT * FROM XXX WHERE ID=' '' or 1=1#' すなわち SQL の構文が改変された ( で一文字と見なされる ) Copyright 2012 HASH Consulting Corp. 16

quote メソッドの詳細 PHP の Pear::MDB2 における quote の呼び出し require_once MDB2.php ; // ライブラリのロード // DB への接続 (PostgreSQL の場合 ) $db = MDB2::connect('pgsql://dbuser:password@hostname/dbname?charset=utf8'); // 文字列型を指定して文字列リテラルのクォート済み文字列を得る ( 略 )$db->quote($s, 'text') ( 略 ) // 数値型を指定して数値リテラルの文字列を得る ( 略 )$db->quote($n, 'decimal') ( 略 ) データ型指定戻り値 abc 'text' 'abc' (PHPの文字列型の値クォートを含む) O'Reilly 'text' O''Reilly' (PHPの文字列型の値クォートを含む) -123 'decimal' -123 (PHPの文字列型の値) 123abc 'decimal' 123 (PHPの文字列型の値) -123 'integer' -123 (PHPの整数型の値) 123abc 'integer' 123 (PHPの整数型の値) 独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html Copyright 2012 HASH Consulting Corp. 17

quote メソッドの数値データの処理結果 Perl DBI/DBD PHP の PDO, Pear::MDB2 で quote の処理内容を調査 1a ' を INTEGER 型を指定して quote するとどうなるか? サンプルスクリプト : DBI: $dbh->quote("1a '", SQL_INTEGER) PDO: $dbh->quote("1a '", PDO::PARAM_INT) MDB2: $dbh->quote("1a '", 'integer') モジュール名結果 DBI(DBD::mysql) 1a ' DBI(DBD::PgPP) '1a '' PDO '1a '' MDB2 1(int 型 ) なにもしていない!( 脆弱性 ) 正しい結果 quote メソッドに期待したが現状 SQL の仕様通り動作するのは MDB2 のみプレースホルダの利用を推奨 Copyright 2012 HASH Consulting Corp. 18

Java + Oracle の場合項目プレースホルダの実装動的プレースホルダのエスケープ処理 quoteメソッドの処理文字エンコーディングの扱い調査結果静的プレースホルダのみ調査対象外 ( 動的プレースホルダは提供されていない ) 調査対象外 (quote メソッドは提供されていない ) DB 接続には UTF-8 が使用される Java + Oracle + ojdbc6.jar では常に静的プレースホルダが使用されるため Java の PreparedStatement インターフェースを使っている限り注意点はありません Java では quote メソッドに該当するライブラリが提供されておらずデータベースエンジンの種類や設定に連動したエスケープ処理ができないため文字列連結による SQL 文の組み立ては推奨されません独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 20

PHP + PostgreSQL の場合下記の点から PEAR::MDB2 について調査しました MDB2 は PostgreSQL の他 MySQL Oracle 等の複数の DBMS に対して SQL 呼び出しを抽象化したインターフェースを提供している Pear::DB Pear::MDB などの同種のモジュールは既に開発が終了しているのに対し MDB2 は開発が継続されている文字エンコーディングを考慮している静的プレースホルダを利用できるプレースホルダへの値のバインドとクォートの際にデータの型を考慮している項目プレースホルダの実装動的プレースホルダのエスケープ処理調査結果静的プレースホルダのみ quote メソッドの処理 ( 文字列リテラルの生成 ) 正しく処理される quote メソッドの処理 ( 数値リテラルの生成 ) 文字エンコーディングの扱い調査対象外 ( 動的プレースホルダは提供されていない ) 正しく処理される DB 接続時に文字エンコーディングを指定できる PHP + MDB2 + PostgreSQL の組み合わせでは常に静的プレースホルダが使用されるためプレースホルダを使っている限り注意点はありませんプレースホルダの代わりに quote メソッドを使うことも可能で quote メソッドは文字列リテラル数値リテラルともに正しく生成します独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 21

Perl + MySQL の場合 (DBI + DBD::MySQL) 項目プレースホルダの実装動的プレースホルダのエスケープ処理 quote メソッドの処理 ( 文字列リテラルの生成 ) 調査結果動的プレースホルダまたは静的プレースホルダ正しく処理される正しく処理される quote メソッドの処理 ( 数値リテラルの生成 ) 正しく処理されない ( 入力をそのまま返す ) 文字エンコーディングの扱い DB 接続時に UTF-8 を明示的に指定できる MySQL で静的プレースホルダを使用する場合 mysql_server_prepare=1 を指定することエスケープ対象の文字は NO_BACKSLASH_ESCAPES を正しく反映する数値に対して quote メソッドは何もしない ( 脆弱性!) mysql_enable_utf8=1 により UTF-8 を明示できる $dbh->quote("1 or 1=1", SQL_INTEGER); # "1 or 1=1" を返す独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 22

Java + MySQL の場合 (MySQL Connector/J) 項目プレースホルダの実装動的プレースホルダのエスケープ処理 quote メソッドの処理文字エンコーディングの扱い調査結果動的プレースホルダまたは静的プレースホルダ正しく処理される ( ただしバージョンによっては付録 A.3 の問題がある ) 調査対象外 (quote メソッドは提供されていない ) DB 接続時に文字エンコーディングを指定できる静的プレースホルダを使用するためには useserverprepstmts=true を指定する動的プレースホルダを使用する場合 NO_BACKSLASH_ESCAPES を反映したエスケープを行う DB 接続時に characterencoding パラメータにより文字エンコーディングの指定が可能独立行政法人情報処理推進機構安全な SQL の呼び出し方より引用 http://www.ipa.go.jp/security/vuln/websecurity.html 23

文字コードの問題 1 5C 問題による SQL インジェクション 5C 問題とは Shift_JIS 文字の 2 バイト目に 0x5C が来る文字に起因する問題ソ表能欺申暴十など出現頻度の高い文字が多い 0x5C が ASCII ではバックスラッシュであり ISO-8859-1 など 1 バイト文字と解釈された場合日本語の 1 バイトがバックスラッシュとして取り扱われる一貫して 1 バイト文字として取り扱われれば脆弱性にならないが 1 バイト文字として取り扱われる場合と Shift_JIS として取り扱われる場合が混在すると脆弱性が発生する Copyright 2012 HASH Consulting Corp. 25

ソースコード ( 要点のみ ) <?php header('content-type: text/html; charset=shift_jis'); $key = @$_GET['name']; if (! mb_check_encoding($key, 'Shift_JIS')) { die(' 文字エンコーディングが不正です '); } // MySQLに接続 (PDO) $dbh = new PDO('mysql:host=localhost;dbname=books', 'phpcon', 'pass1'); // Shift_JISを指定 $dbh->query("set NAMES sjis"); // プレースホルダによるSQLインジェクション対策 $sth = $dbh->prepare("select * FROM books WHERE author=?"); $sth->setfetchmode(pdo::fetch_num); // バインドとクエリ実行 $sth->execute(array($key));?> Copyright 2012 HASH Consulting Corp. 26

対策文字エンコーディング指定のできるデータベース接続ライブラリを選定し文字エンコーディングを正しく指定する $dbh = new PDO('mysql:host=xxxx;dbname=xxxx;charset=cp932', 'user', 'pass', array( PDO::MYSQL_ATTR_READ_DEFAULT_FILE => '/etc/mysql/my.cnf', PDO::MYSQL_ATTR_READ_DEFAULT_GROUP => 'client', )); # http://gist.github.com/459499 より引用 (by id:nihen) 静的プレースホルダを使うよう指定するあるいはプログラミングする $dbh->setattribute(pdo::attr_emulate_prepares, false); 詳しくは安全な SQL の呼び出し方を参照 http://www.ipa.go.jp/security/vuln/websecurity.html Copyright 2012 HASH Consulting Corp. 28

文字コードの問題 2 U+00A5 による SQL インジェクション Class.forName("com.mysql.jdbc.Driver"); Connection con = DriverManager.getConnection( "jdbc:mysql://localhost/books?user=phpcon&passw ord=pass1"); String sql = "SELECT * FROM books where author=?"; // プレースホルダ利用による SQL インジェクション対策 PreparedStatement stmt = con.preparestatement(sql); //? の場所に値を埋め込む ( バインド ) stmt.setstring(1, key); ResultSet rs = stmt.executequery(); // クエリの実行 Copyright 2012 HASH Consulting Corp. 29

U+00A5 による SQL インジェクションの原理 IPA: 安全な SQL の呼び出し方 (http://www.ipa.go.jp/security/vuln/websecurity.html) より引用 30

U+00A5 による SQL インジェクションの条件と対策脆弱性が発生する条件 JDBC として MySQL Connector/J 5.1.7 以前を使用 MySQL との接続に Shift_JIS あるいは EUC-JP を使用静的プレースホルダを使わずエスケープあるいは動的プレースホルダ ( クライアントサイドのバインド機構 ) を利用している対策 ( どれか一つで対策になるがすべて実施を推奨 ) MySQL Connector/J の最新版を利用する MySQL との接続に使用する文字エンコーディングとして Unicode(UTF-8) を指定する ( 接続文字列に characterencoding=utf8 を指定する ) 静的プレースホルダを使用する ( 接続文字列に useserverprepstmts=true を指定する ) Copyright 2012 HASH Consulting Corp. 31

SQL インジェクション対策入力値文字エンコーディングの検証 and/or 文字エンコーディングの変換要件に従った入力値の検証 ( 制御文字のチェックは必須 ) SQL 呼び出しともかくプレースホルダを使うこと静的プレースホルダの利用が原理的に安全安全な SQL の呼び出し方をよく読む文字コードの選定アプリケーションを通して Unicode を使う HTTP メッセージは UTF-8 アプリケーションの内部は UTF-8 か UTF-16 ケータイ向けサイトは HTTP メッセージの文字エンコーディングを Shift_JIS にするが内部は UTF-8 とする EUC-JP という選択もあり得るが使える言語が少ない円記号 U-00A5 バックスラッシュ (5C) の変換に注意尾骶骨テストのすすめ Copyright 2012 HASH Consulting Corp. 32