第9回勉強会 Webセキュリティー

WEBアプリケーション
セキュリティー
株式会社ミュートネット
竹原広佑

本日の予定

１９：００〜１９：１０自社・自己紹介な
ど
１９：１０〜１９：５０ WEBセキュリティ
１９：５０〜２０：００休憩
２０：００〜２０：３０ WEBセキュリティ
２０：３０〜２０：４０まとめ
２０：４０〜後片付け（終了）

本日の勉強会内容の
対象者目安

・対象
１．Webアプリケーションを作ったことがない。
２．セキュリティについて何も知らない。
３．セキュリティについての基本は幾つか知ってはいるが、
意識したことは無い。

・非対象
４．セキュリティの基礎についてしっかりと把握し、意識して
コードを書いている。
５．セキュリティについての最新動向もしっかりと学習し
開発に生かしている。

はじめに

『WEBアプリケーションの数が近年急増』

【背景】

様々なデバイスの普及（スマホ、タブレット等）

クラウド関連の成長

Webアプリケーション数と
脆弱性報告数

出典元 IPA
（http://www.ipa.go.jp/security/vuln/report/vuln2012q3.html）

グラフ（１）

ソフトウェアに対してウェブサイト
の脆弱性報告が非常に多い！

２００８年後期に急増（titterなどの
WEB関連のサービスが流行り始める）

グラフ（２）

グラフはユーザからの報告を
受けた把握できている数

実際にはwebサイトの約４割
が脆弱性を抱えている
出典元 IT pro
（http://itpro.nikkeibp.co.jp/article/NEWS/20120705/407596/）

グラフ（３）

IPA調べでは２０１２年３Q度の１営業日に対する
報告数はなんと。。

３．９６件/日!!

脆弱性の種類（１）

ここで脆弱性として代表的な物をご紹介！
Cross Site Scripting（クロスサイトスクリプティング）
Parameter Manipulation（パラメータ改ざん）
Backdoor & Debug Options（バックドアとデバッグオプ
ション）
Forceful Browsing（強制的ブラウズ）
Path Traversal（パスの乗り越え）
SQL Injection（SQLの挿入）
OS Command Injection（OSコマンドの挿入）
Client Side Comment（クライアント側コメント）etc

Cross Site Scripting
（クロスサイトスクリプティング）

第三者が通常のサイト利用者に対して
自由にスクリプトを実行させる事がで
きる。

これにより、ユーザしか知り得ない情
報
（IDやパスなど）を不正に取得するこ
とが

Parameter Manipulation（パラメータ改ざん）
Path Traversal/Directory Traversal（パスの乗り越え）
Forceful Browsing（強制的ブラウズ）

上記の３つに共通な部分はURLの文字列変更による攻撃

例）
http://○○○.com/○○○.php?userid=２１９
http://○○○.com/phpmyadmin
http://○○○.com/(インデックスページの表示)

上記の様なURLの場合、useridの部分を２２０や２２１に
変える事で別ユーザとしてアクセスできそう

Backdoor & Debug Options
（バックドアとデバッグオプション）
Client Side Comment
（クライアント側コメント）

上記の２つは主に開発中に開発者のミスで生まれる
脆弱性。

開発中に仕込んでいた、本来踏むべき手順を無視
し、実行できるルートを削除し忘れていたため、本
来ならば起こり得ない事象を生む。

HTMLコメントは、攻撃者の格好のヒントになってし
まう恐れも。。。

SQL Injection / Second Order Injection（SQLの挿
入）
OS Command Injection（OSコマンドの挿入）

SQLやOSコマンドを入力欄に入力し、本来で
あればエスケープすべきSQL文をしていない
それらの文字列がサーバによってコマンド
として実行されてしまう現象。
例）
ログイン画面、パスワード入力欄などに
SQLを
書きサーバに送信

脆弱性の割合

出典元 IPA
(http://www.ipa.go.jp/security/vuln/report/vuln2012q3.html)

脆弱性まとめ

脆弱性の中で特に代表的なもの
それが
クロスサイトスクリプティング（XSS）
と
SQLインジェクション
です！

XSSとSQLインジェクション
詳細

XSS（クロスサイトスクリプティング）
詳細（１）

ここでスクリプトを
送り込む

正規のWEBページ

偽の関連サイト等
（悪意のある第三者）一般ユーザ

余談
クロスサイトリクエストフォー
ジェリ
リダイレクト


予めサーバに送信される情報を作成

XSS詳細（２）

対策としてしっかりと
サニタイジング（無害化）
しよう！

サニタイズとは？

Webサイトの入力フォームへの入力
データから、HTMLタグ、JavaScript、
SQL文などを検出し、それらを他の文
字列に置き換えること。
※エスケープなど無害化行為の総称

PHPでの対策

出力時、
htmlspecialchars関数で
簡単に出来ます！

XSS（クロスサイトスクリプティン
グ）
詳細（１）より

ここでスクリプトを
無害化できる


偽の関連サイト等

詳細（１）

SQLインジェクション例）
ID

ここの値を
$SQL = “Select * from user where id = ‘”.$id. ”’”;
なんて形でやっていると・・・・

詳細（２）

SQLインジェクション例）
ID A‘ or ‘A’ = ‘A’

と入力されると展開後の文字列は

Select * from user where id = ‘A’ or ‘A’ = ‘A’;

となり入力情報が
なんであっても通ってしまう

詳細（３）

前述のような形なら

まだ幾らかマシです！！

詳細（４）

SQLは；（セミコロン）で区切ることが出来るので
ID ‘；delete from user

と入力されると

後ろに続くdelete文が実行されま
す！！
こんな事されたらもう・・・・

（５）

対策として（；や‘は）
エスケープすること！
特殊文字として認識させないように
文字列として内部で扱う
また、入力時の禁止文字列としての
対応も対策のひとつ！

（６）

エスケープ処理もきちんとしたし、
これで一安心！！

ではないんです！

セカンドオーダインジェクション
（１）

大層な名前ですが
SQLインジェクションと本質
は
同じです！

（２）

例として例えば以下の様な
形でユーザ登録できる
webアプリがあったとします。

ID : admin’--
pass : password

（３）

もし、このWEBアプリがパスを変更できる
としたら流れるクエリはこんな形

Update user set pass = ‘pass’ where id = ‘admin’—’;

SQLは-をコメントとしているので、上記の
SQLではadminのアカウントの
パスワードが変更されてしまう。

（４）

外部入力時のみではなく
読み出しの値に対しても
エスケープ処理を忘れずに！
（全てのクエリに対してエスケープは必須で
す）

現在では・・

現在では、これらのサニタイジングを自動で（意識
せず）やってくれるフレームワークが多数存在して
います。

しかし、それらのものにも脆弱性が存在しうるた
め、日々の最新アップデートは常に確認しておくべ
き！

セキュリティーまとめ

XSSはHTML出力時、サニタイジングを！
SQLインジェクションは、SQL生成時全ての場合に
おいてエスケープ処理を！

昨今の開発ではフレームワークを使用している為、
脆弱性を生むような自体は避けられてはいる。
が、バージョンアップなどの動向については常に
チェックするよう心がける。

第9回勉強会 Webセキュリティー

More Related Content

What's hot (17)

Viewers also liked (20)

Similar to 第9回勉強会 Webセキュリティー (20)

第9回勉強会 Webセキュリティー