SQL インジェクションの脆弱性 - PDF 無料ダウンロード

別紙脆弱性体験学習ツール AppGoat ハンズオンセミナー演習解説

SQL インジェクションの脆弱性

[ 演習 ] AppGoat を用いた疑似攻撃体験 SQL インジェクションのテーマ不正なログイン ( 文字列リテラル ) 画面上に Congratulations!! と表示されると演習クリアです 3

脆弱性のある箇所を特定するログイン ID またはパスワードにシングルクォート ' を入力しログインボタンをクリックしてウェブアプリケーションの挙動を確認しましょうその結果下記のように通常とは異なるエラーメッセージが表示されることが確認できます入力値により SQL 文の構文が壊れた可能性がある SQL インジェクションの脆弱性が存在する可能性 4

入力値と SQL 文の関係ログイン ID パスワードに入力した値が SQL 文の下記の箇所に展開される展開される際の処理に問題があると SQL 文の挿入が可能になる 5

攻撃の流れを確認する 1. 攻撃者がオンラインバンキングのログインフォームの ID 欄に適当な文字列パスワード欄に ' OR 'A'='A の文字列を入力しログインを試みます 2. その結果攻撃者が山田さんとしてログインできてしまいます 6

なぜ SQL 文の挿入が可能だったのか? DBMS において特別な意味を持つ記号文字 ' の扱いが不適切だったため SELECT * FROM user WHERE id='$i' AND pass='$p'; $i=yamada $p=foo の場合 : SELECT * FROM user WHERE id='yamada' AND pass='foo'; '; $i=yamada $p=foo' OR 'a'='a の場合 : SELECT * FROM user WHERE id='yamada' AND pass='foo' OR 'a'='a';'; 変数中のが文字列リテラルの区切り文字として解釈され SQL 文の構文を書き換えられてしまった 7

[ 演習 ] AppGoat を用いた疑似攻撃体験 SQL インジェクションのテーマ情報漏えい ( 数値リテラル ) 画面上に Congratulations!! と表示されると演習クリアです 8

脆弱性のある箇所を特定する ID yamada でログインし口座番号 1000001 の口座残高照会のページを参照しましょうページ参照時の URL の account_id パラメータ値に a を入力しアクセスしてみましょうその結果下記のようなエラーメッセージが表示されることが確認できます入力値により SQL 文の構文が壊れた可能性がある SQL インジェクションの脆弱性が存在する可能性 9

入力値と SQL 文の関係 URL のクエリストリングに入力した値の一部が SQL 文の下記の箇所に展開される http://localhost/web/scenario109/vulsoft/bank.php? page=3&account_id=99 OR 1=1 10

攻撃の流れを確認する 1. ログイン済みの攻撃者が下記の URL にアクセスします http://localhost/web/scenario109/vulsoft/bank.php?page=3& account_id=99 OR 1=1 2. その結果ログイン済みの攻撃者が他人の口座残高を閲覧できてしまいます 11

なぜ SQL 文の挿入が可能だったのか? 変数に数値が入ることを想定している箇所に数値以外の文字が出力され文字列として扱われてしまったため SELECT * FROM account WHERE id='$i' AND account_id=$ai; $i=yamada $ai=99 の場合 : SELECT * FROM account WHERE id='yamada' AND account_id=99; ; $i=yamada $ai=99 OR 1=1 の場合 : SELECT * FROM account WHERE id='yamada' AND account_id=99 OR 1=1; 変数中の OR が SQL 文の OR 演算子として解釈された 12

クロスサイトスクリプティングの脆弱性

[ 演習 ] AppGoat を用いた疑似攻撃体験クロスサイトスクリプティングのテーマアンケートページの改ざん ( 反射型 ) 画面上に Congratulations!! と表示されると演習クリアです 14

脆弱性のある箇所を特定するアンケートページに存在する脆弱性の箇所を探します複数の入力欄に '>"><s> を入れてアンケート内容に関するエラーページを表示してみましょうエラーページ出力 (HTML 生成 ) 時において名前欄に入力した値がそのまま使われていることが確認できます HTML ソースウェブブラウザ上の表示 15

疑似攻撃に使うスクリプトについてアンケートページの内容を書き換えるスクリプトを作成し演習環境に対してクロスサイトスクリプティングの脆弱性を突いてみましょう例えばアンケートページで下記のスクリプトが実行されるとアンケートページの一部が書き換わります <script>document.getelementbyid("account").innerhtml = '<font color="blue" size="3"> もれなく一万円をプレゼントいたします名前住所口座番号を入力してください </font>';</script> HTML の id 属性値が account の要素の内容を innerhtml プロパティで置き換えています 16

攻撃の流れを確認する 1. 攻撃者が掲示板に罠のリンクを作成します罠のリンクには先ほど作成したスクリプト文字列を含めます 2. 利用者が罠のリンクをクリックしアンケートページにアクセスします 3. その結果利用者のウェブブラウザ上でスクリプトが実行されます 17

なぜ HTML タグの挿入が可能だったのか? 文字列を出力する際文字そのものとして出力することを想定しているにもかかわらずその実現に必要な処理 ( エスケープ処理 ) を実装していないため例 : < < > > " " & & など文字そのものとして出力することを想定した箇所に HTML タグとして出力することができてしまうためセキュリティ上の問題となる 18

[ 演習 ] AppGoat を用いた疑似攻撃体験クロスサイトスクリプティングのテーマ掲示板に埋め込まれるスクリプト ( 格納型 ) 画面上に Congratulations!! と表示されると演習クリアです 19

脆弱性のある箇所を特定する掲示板に存在する脆弱性の箇所を探します複数の入力欄に '>"><hr> を入れ投稿し投稿結果を確認してみましょう投稿結果の HTML ソースを確認すると本文欄に入力した値が HTML の構成要素としてそのまま使われていることが確認できます HTML ソースウェブブラウザ上の表示 20

攻撃の流れを確認する 1. 攻撃者が掲示板にスクリプトを埋め込みます 2. 利用者が掲示板にアクセスします 3. その結果利用者のウェブブラウザ上でスクリプトが実行されます 21

なぜ HTML タグの挿入が可能だったのか? 学習テーマアンケートページの改ざん ( 反射型 ) と同じく HTML におけるエスケープ処理を適切に実装していないため例 : < < > > " " & & など " で括られた属性値の場合は属性値に含まれる " を文字実体参照 " にエスケープ処理する必要がある HTML ソースウェブブラウザ上の表示 22

クロスサイトリクエストフォージェリ (CSRF) の脆弱性

[ 演習 ] AppGoat を用いた疑似攻撃体験クロスサイトリクエストフォージェリのテーマ意図しない命令の実行画面上に Congratulations!! と表示されると演習クリアです 24

脆弱性のある箇所を特定する ID yamada でログインし設定変更ページの HTML ソース等からどのようなリクエストを送信しているのか確認しましょう設定変更ページから個人情報公開の設定を公開するに変更するリクエストを送信してみましょう送信するリクエストに第三者が予測困難な情報が含まれていないことが確認できます 25

攻撃の流れを確認する 1. 攻撃者が掲示板に罠リンクを含む投稿をします 2. SNS サイトにログイン済みの利用者が掲示板にある罠リンクをクリックします 3. その結果罠リンクをクリックした利用者が SNS サイトの設定を変更するリクエストを送ってしまい個人情報を公開する設定に変更してしまいます 26

なぜ意図しない処理が実行されたのか? ログインした利用者からのみ受け付ける処理について利用者が意図したリクエストであるかどうかを識別する仕組みがないため攻撃者リクエストの違いを識別することができない A: 罠ページからのリクエストログイン済みの利用者 A B: 利用者が意図したリクエストウェブアプリ 27