PHPによるWebアプリケーション構築時のセキュリティメモのバックアップ(No.2) : アークウェブWebマーケティングSandBox

バックアップ一覧
ソースを表示
PHPによるWebアプリケーション構築時のセキュリティメモは削除されています。
- 1 (2006-08-03 (木) 15:42:45)
- 2 (2006-08-03 (木) 16:13:22)

PHPによるWebアプリケーション構築時のセキュリティメモ?

[edit]

目次 †

目次
このドキュメントは？
クロスサイトスクリプティング
HTTPレスポンス分割攻撃
NULL バイト攻撃
Email ヘッダ・インジェクション
include()、require()
etc...

↑

[edit]

このドキュメントは？ †

PHPによるWebアプリケーション構築時のセキュリティ対策に関して社内の勉強会用に

から特に気になる、注意しておきたい、知見や問題、対策などを簡易にメモしたものです。

勉強回そのものは主にPHP と Web アプリケーションのセキュリティについてのメモを読みながら進めます。

↑

[edit]

クロスサイトスクリプティング †

サニタイズのタイミングはHTML生成時に行う

IPA ISEC セキュア・プログラミング講座より

クロスサイトスクリプティングの解説記事でよく説明される「入力データチェックを厳密に」という表現から，図3の(1) フォーム受付時のタイミングでサニタイジングを行うのかと思いがちである。サニタイジングは(2)HTML生成時のタイミングで行うべきである。次章「クロスサイトスクリプティング対策の詳細」で説明するが，データを埋め込むHTML中の文脈に合わせて適切なサニタイジング手法を選択する必要があるからである。また掲示板の例では，将来的にデータベースへの記事の書き込み手段として，メールによる投稿が導入された場合でも，(2)HTML生成時のタイミングでサニタイジングしていれば，なんら手を加えることなく，いろんな入力源から入り込んでくるデータを漏れなくサニタイジングできる。また，同じデータに誤って2回以上サニタイジングしてデータの意味が変わってしまうという設計上のトラブルも防げる。

このようにサニタイジングのタイミングは(1)フォーム受付時ではなく，(2)HTML生成時でなければならない。参考文献『Understanding Malicious Content Mitigation for Web Developers』でもHTML生成時のサニタイジングを推奨している。

style タグや script タグの内部に外部からの入力は組み込まない

ユーザにHTMLタグやスタイルシートを記述させる場合の参考

はてなダイアリーのXSS対策

入力データ挿入部によって対策の切り分けが必要

通常のテキスト部、タグ属性値、URL属性、イベントハンドラ属性、<SCRIPT>、、
スタイルシートなどによって異なる対策が必要。

IPA ISEC セキュア・プログラミング講座 1-2. クロスサイトスクリプティング参照

↑

[edit]

HTTPレスポンス分割攻撃 †

header()、setcookie()に改行を含む値をわたらせないようにする

PHP 4.4.2 / PHP 5.1.2 では、一度の複数のヘッダを送ることができないように修正されている

↑

[edit]

NULL バイト攻撃 †

バイナリセーフじゃない関数でチェックした後にバイナリセーフの関数を使う。またはその逆のケースで想定外の動作をしてしまう問題。

正規表現のチェック等で注意。ereg系はバイナリセーフではない。個人的にはバイナリセーフのpreg系で統一するのがよいと思う。

ファイル名を直接引数で渡すような設計をしない（NULL バイト攻撃で任意のファイルが読めたりする可能性あり）。この場合は下記のようにハッシュ等を用意して対処する
```
       $config_file_list = array('add' => 'add.conf', 'del' => 'del.conf');
       require($config_file_list[$_GET['command']]);
```
SQLに渡すカラム値などもこの方法を使い、直接渡さないようにするのが望ましい。

↑

[edit]