Web担当者が知っておくべきPHPとセキュリティ

Web担当者が知っておく
べきPHPとセキュリティ

Electronic Service Initiative, Ltd.

1

自己紹介
• 大垣靖男（Yasuo Ohgaki）
• Twitter/Facebook/LinkedIn/Google： yohgaki
• エレクトロニック・サービス・イニシアチブ
• 岡山大学大学院非常勤講師
• PHP技術者認定機構顧問
• BOSS-CON JAPAN PHP SA CTO

2

2012年を振り返る
• 注目すべき攻撃手法TOP10
1. CRIME （SSL暗号解読）
攻撃手法は年々
2. SSRF攻撃
複雑化＆高度化
3. Chromeアドオンハック
4. PHPSESSIDブルートフォース
5. 脅威とJavaScriptのブレンド
6. クロスサイトポート攻撃
7. HTML5クライアントアプリの恒久的バックドア
8. CAPTCHAリライディング攻撃
9. XSS: httponlyクッキーの取得 2012年版
10.HTTP VerbトンネリングなどによりOData攻撃
TOP TEN WEB HACKING TECHNIQUES OF 2012
WhiteHat Security

3

セキュリティ研究者の傾向
• Webクライアントの攻撃から、
攻撃対象のWebクライアントのネットワークへ
• 企業ネットワーク内部のファイアーウォール回避
• 複数の脆弱性を組み合わせた複合型攻撃


4

SSRF攻撃
• SSRFにXXE、SQL・OSコマンド・スクリプトインジェク
ションなどを利用し企業内ネットワークの奥深くまで
攻撃
※XXE – XML External Entityを利用した攻撃

SSRFは内部ネットワークから攻撃する
クラシックな攻撃パターンだが研究者は
インターネットから攻撃する手法を考案

5

SSRF攻撃とは
• SSRF = Server Side Request Forgery
• リクエストAをサービスAに送信
• サービスAはリクエストBをサービスBに送信
• リクエストBの幾つかフィールドをリクエストAで操作可能

リクエストA

サービスA

リクエストB
B１
A1
A3

A1

A2
A3

サービスB

攻撃

B2

6

SSRF攻撃の手法
単純なリクエスト

/ui/BufferOverview?server=172.16.1.1&port=31337&dispatcher=&target=

XXE

<!ENTITY xxe SYSTEM “http://172.16.1.1:80/someservice”>

SQLインジェクション

SELECT * FROM OPENQUERY(HostB, ‘SELECT * FROM @@version’) (MS SQL)
SELECT * FROM myTable@HostB (Oracle)
SELECT dblink_send_query('host=127.0.0.1 dbname=HostB user=¥'attacker¥' ','select version();')
(PostgreSQL)

OSコマンド

system(‘wget http://172.16.1.1/someservie’)

攻撃


7

SSRF攻撃
• XXEで可能と紹介されている例
•
•
•
•

ファイルとディレクトリへのアクセス
リモートポートスキャン
他のシステムをHTTPで攻撃
HTTP以外のプロトコルで他のシステムを攻撃

• PHPのXXE修正
• SOAP - Disabled external entities loading (CVE2013-1643, CVE-2013-1824)
2013年3月 PHP5.4.13/5.3.23

8

SSRF攻撃
• SSRFはコマンドやリクエストを実行できる脆弱性が
ある場合、実行可能
• XXE、SQLインジェクション、OSコマンドインジェク
ション、スクリプト実行
• PHPは埋め込み型言語であるため、スクリプト実行
に脆弱になりやすい
• PHP5.3.4以降
• Paths with NULL in them (foo¥0bar.txt) are now
considered as invalid


9

脅威とJavaScriptのブレンド
• SSRFと同類の攻撃手法
JavaScripｔによる内部ネットワークスキャン

JSScan、JS-Recon、jslanscanner

HTML5

Cross Origin Resource Sharing, File API, XHR2, Blobs

リモートからルータなどの乗っ取りが可能

不正ログインからファームウェア書き換えまで

10

クロスサイトポートスキャン
• SSRFを補助する攻撃として利用可能
• 他のサイトにリクエストを送信するアプリ
• ネットワークスキャナー、フィンガープリンティングに利用
• http://172.16.1.1:5432/path/file

攻
撃

スキャン

攻
撃

11

内部ネットワーク攻撃の脅威
• 企業内部ネットワークのアプリ・システムが攻撃対
象となる脅威が増加中

• 企業内のWebアプリにも公開アプリ同様に十分な
セキュリティ対策が必要


12

PHPSESSIDブルートフォース
• PHPのセッション管理機構がデフォルトでは擬似乱
数発生器によってセッションIDを生成する
• 古いPHPセッションの乱数はメルセンヌ・ツイスター

• 擬似乱数発生器の脆弱性を利用してセッションID
の推測
• 元々ベストプラクティスは
• session.entropy_file = /dev/urandom

• PHP5.4以降は
• UNIX：/dev/{urandom,arandom}がデフォルト
• Windows： session.entropy_lengthを設定→CryptAPI

13

Next PHP
• 新しいパスワードハッシュ関数
• password_hash()

• ｃｒｙｐｔ関数のラッパー関数
• 自動的に最新・最強のパスワードハッシュを生成
• ラッパー関数で古いPHPでも可能
• PBKDF2 - hash_pbkdf2()も追加


14

Next PHP
• ｆinallyサポート
• 異常終了時のリソースクリーンナップ

• PCRE – e修飾子廃止
• preg_replace_callback()

• ロゴ表示の廃止
• フィンガープリンティング対策

• PgSQL – リテラル、識別子エスケープAPI
• pg_escape_literal()、pg_escape_identifier()

• セッションアダプション脆弱性修正（？）
• session.strict_mode=true

15

Future PHP
• 未サポートのHTTPメソッドサポート？
• GET,POST ＋ DELETE、PUT
• $_SERVER[‘REQUEST_METHOD’]と
parse_str(file_get_contents(‘php://input’),$var)で
現在も対応可能

• 入力バリデーションの強化？
• 単機能からフレームワーク

• スクリプトオンリー読み込み？
• 埋め込み言語特有の脆弱性除去
• 他の言語から見ると最大の弱点

16

セキュリティ維持に何をすべきか？
セキュリティ維持には全てのフェーズでの
セキュリティ対策が必要不可欠

企画
運用

設計
全フェーズに
セキュリティ対策
が必要

テスト

実装

全フェーズにセキュリティ対策の
レビューが効果的

17

セキュリティ維持に何をすべきか？
• セキュリティ対策に最も重要な事とは？
• セキュリティ対策の本質を知る
• セキュリティ対策＝学習・トレーニング・実践・レビュー
知る
確認

企画
運用

訓練
実践

全てのフェーズへ
適用

テスト


設計

実装
18

What We Planned？
知る
確認

企画

訓練
実践
意識改革

運用

設計

テスト

実装

実践


セキュリティ確立

19

• ご清聴ありがとうございました。

お問い合わせ
BOSS CON JAPAN
http://www.boss-con.jp/contact/
または
エレクトロニック・サービス・イニシアチブ
info@es-i.jp

20

Web担当者が知っておくべきPHPとセキュリティ

Recommended

Recommended

More Related Content

What's hot

What's hot (17)

Similar to Web担当者が知っておくべきPHPとセキュリティ

Similar to Web担当者が知っておくべきPHPとセキュリティ (20)

More from Yasuo Ohgaki

More from Yasuo Ohgaki (6)

Recently uploaded

Recently uploaded (16)

Web担当者が知っておくべきPHPとセキュリティ