社内勉強会でお話した内容。

1. 基礎＊Force
セキュリティに気をつけてForce.comで開発しよう！
junko nakayama
2015.9.3

2. セキュリティ勉強会にいってきました！
普段salesforceで開発しているときに
気をつけるポイントをまとめてみました。
nakayama
salesforce歴 4年8ヶ月。
2

3. クロスサイトスクリプティング (XSS)
<apex> で始まるすべての標準 Visualforce コンポーネントでは、対 XSS
フィルタが設定されています。<apex:outputText> タグは XSS に対して安
全です。HTML タグとされるすべての文字は、リテラル形式に変換されま
す。たとえば、< 文字は &lt; に変換され、ユーザの画面上ではリテラル < が
表示されます。
Visualforce タグのエスケープの無効化
デフォルトでは、ほぼすべての Visualforce タグは XSS に対して脆弱な文
字をエスケープします。省略可能な属性 escape="false" を設定することに
よって、この動作を無効化することができます。
参考)https://developer.salesforce.com/docs/atlas.ja-jp.securityImplGuide.meta/securityImplGuide/review_and_certification.htm
3

4. クロスサイトスクリプティング (XSS)
取引先の名前(Account.name)に
<b>中山</b>を入力しておき、
パラメータの違いによる
出力を確認しました。
escapeするときには、
意識して書きましょう！
4
1.出力時のエスケープ <apex:outputText>の場合
escape=”false”をつけた場合のみそのまま出力される。

5. 5
クロスサイトスクリプティング (XSS)
2.出力時のエスケープ Visualforceページで関数を使う場合
HTMLENCODE
HTML で使用するテキスト文字列や差し込み項目値を符号化しま
す
JSENCODE
バックスラッシュ () などのエスケープ文字をアポストロフィー (') な
どの安全でない JavaScript 文字の前に挿入して、 JavaScript で使
用するテキスト文字列や差し込み項目値を符号化します。
JSINHTMLENCODE
HTMLENCODE で最初にsomeValue を符号化してから、JSENCODE
で結果を符号化します。
URLENCODE
URL では不正な空白スペースなどの文字を、これらの文字を表す
コードに置き換えて、 URL で使用するテキスト文字列や差し込み項
目値を符号化します。

6. Stringクラス
escapeHtml4(),unescapeHtml4()
escapeHtml3(),unescapeHtml3()
EncodingUtilクラス
urlEncode(String inputString, String encodingScheme)
6
クロスサイトスクリプティング (XSS)
3.出力時のエスケープ Apexクラスの場合
（使い方）
String s1 ='"<Black&White>"';
String s2 =s1.escapeHtml3();
System.debug(s2);
// Output:
// &quot;&lt;Black&amp;
// White&gt;&quot;
（使い方）
String encoded = EncodingUtil.urlEncode(url, 'UTF-8');

7. 7
クロスサイトスクリプティング (XSS)
4.入力パラメータのチェック
inputFieldを使うと入力チェックが行われる。
入力規則をチェックせずに actionを実行するに
は、<apex:commandButton>のパラメータ
immediate=”true”を設定する

8. クロスサイトリクエストフォージェリ (CSRF)
Force.com プラットフォームには、 CSRF 攻撃を防御するためのトークンが実装されています。すべての
フォームに、ランダムな文字列を含むパラメータが隠し項目として含まれています。ユーザがそのフォームを
送信すると、プラットフォーム側でその文字列が検証され、送信された値が想定された値と一致しなけれ
ば、コマンドは実行されません。この機能は、すべての標準コントローラと標準メソッドに適用されますが、保
護の対象となるのは POST リクエストのみです。 GET リクエストはサポートされていません。
(POST リクエストのみを保護することについて、セールスフォース・ドットコムでは、サーバ側の重要データ
を変更しない、かつ、副次的に深刻な影響をもたらさないという点で、 GET リクエストは「安全なものである」
という慣例にのっとっています。すなわち、 Force.com ではアプリケーションの状態を変更する処理に GET
リクエストは使用できないようになっており、そのため、 GET リクエストに CSRF 防御機能を適用する必要
はないと判断しています。この点について、詳しくは、 RFC 2616 (HTTP 1.1)(英語) のセクション 9.1 を参照
してください。)
8

9. VisualforceでGetしたときにDML操作させたくない場合は、「 GET要求のCSRF保護が必要」にチェックを付
ける。URLパラメータにCSRFトークンを追加する。
API28.0以上(Summer’13で対応）
9
クロスサイトリクエストフォージェリ（CSRF)
1.GETリクエストの制限

10. SOQL インジェクション
SOQL インジェクションの攻撃を回避するには、動的 SOQL クエリを使用しないよう
にします。代わりに、静的クエリとバインド変数を使用します。
http://blog.flect.co.jp/salesforce/2011/04/soqlxss-9ebd.html
10
参考)https://developer.salesforce.com/page/JP:Secure_Coding_SQL_Injection

11. Where句に使う変数を指定する方法
String queryName = '%' + name + '%'
List<Contact> queryResult = [SELECT Id FROM Contact
WHERE (IsDeleted = false
and Name like :queryName)];
11
SOQLインジェクション
1.静的クエリとバインド変数

12. 動的なsqlを作るときもある。そんな時のエスケープ。
String sql = ‘select id from Account ‘
+’where id=¥’’+String.escapeSingleQuotes(id)+’¥’’;
Database.query(sql);
NGパターン
String sql = ‘select id from Account ‘
+’where id=¥’’+id+’¥’’;
12
SOQLインジェクション
2.文字列のエスケープ

13. Force.com プラットフォームは、データ共有ルールを広範囲に使用します。各オブ
ジェクトには権限があり、ユーザが読み取り、作成、編集、削除できる共有設定があ
る場合があります。これらの設定は、すべての標準コントローラを使用する場合に強
制されます。
Apex クラスを使用する場合、組み込みユーザ権限、および項目レベルのセキュリ
ティ制限は実行時に重視されません。デフォルトの動作として、Apex クラスに組織内
のすべてのデータを読み込み更新する機能があります。これらのルールは強制され
ないため、Apex を使用する開発者は、ユーザ権限、項目レベルのセキュリティ、また
は組織のデフォルト設定によって通常は非表示となる機密データが不注意で公開さ
れないようにする必要があります。これは特に、Visualforce ページで当てはまりま
す。
13
SOQLインジェクション
3.データの権限を狭める

14. Apexクラス
Apexクラス with sharing
http://blog.flect.co.jp/salesforce/2010/11/with-sharingwit.html
public with sharing class SharingClass
selectできる範囲が異なる。クラスを複数呼び出す場合は↑参照
14
without sharing システムモード
with sharing ユーザモード
定義なし システムモード

15. オブジェクト権限
オブジェクト権限
共有ルール
アクセス権限（オブジェクト・項目）
ロール階層に準じたレコード参照
https://developer.salesforce.com/page/An_Overview_of_Force.com_Security
15

16. 16
try-catchを適切にしていない場合、
エラーメッセージがそのまま表示される。
不十分なエラー処理
1.Apexにてエラーが起こった時の画面

17. 17
エラー内容は表示されません。Sitesの「承認が必要です (401)」ページが表示され
る。管理者プレビューモードを使うと、エラー内容が少しだけわかる。あとは、デバッ
グログなどで確認しましょう。
不十分なエラー処理
2.Sitesにてエラーが起こった時の画面

18. キャッシュコントロール
Visualforceページでパラメータによる設定
<apex:page cache=”true” …>
未指定の場合はデフォルトのfalse。
意図的にキャッシュさせる場合だけ設定する
※sitesは別途参照。
18

19. クッキー有効期限コントロール
Cookie counter = ApexPages.currentPage().getCookies().get('counter');
if (counter == null) {
counter = new Cookie('counter','1',null,-1,false);
} else {
Integer count = Integer.valueOf(counter.getValue());
counter = new Cookie('counter', String.valueOf(count+1),null,-1,false);
}
ApexPages.currentPage().setCookies(new Cookie[]{counter});
・Cookieコンストラクタの第４引数
Cookie の有効期間を示す秒単位の数字。0 より小さく設定すると、
セッション Cookie が発行されます。0 を設定すると、Cookie が削除されます。
参考)https://developer.salesforce.com/docs/atlas.ja-jp.pages.meta/pages/apex_classes_sites_cookie.htm 19

20. ソースコード内のコメント
公開するページについてはコメントにも気をつける。
Salesforceでのコメントの書き方 <!-- Comment -->
JavaScriptコメントはそのまま表示されます。
20
Visualforce は、内容を処理することなく、表示前にほとんどの HTML コメントと XML
コメントをページから削除します。ただし、Internet Explorer の条件付きコメントは削
除されないため、IE 固有のリソースおよびメタタグを
含めることができます。

21. ログイン
プロファイルベースのログイン時間帯と IP アドレス
組織全体の信頼できる IP アドレスリスト
パスワードポリシー
セッションセキュリティの設定
シングルサインオン
・セキュリティインプリガイド
https://developer.salesforce.com/docs/atlas.ja-jp.securityImplGuide.meta/securityImplGuide/security_overview.htm
・セキュリティ強化のためどのような機能がありますか？
https://help.salesforce.com/apex/HTViewSolution?id=000005517&language=ja
21

22. クリックジャック保護
クリックジャックは、ユーザをだまして安全なものをクリックしていると思わせて、ボタ
ンまたはリンクなどをクリックさせる攻撃の一種です。それどころか、このボタンまた
はリンクによって悪意のあるアクションがサイトで実行され、データ侵入、認証されて
いないメール、ログイン情報の変更、その他のサイト固有のアクションが引き起こされ
ます。
・設定以外の Salesforce ページのクリックジャック保護の重要なお知らせ
Salesforce.com Winter '14
・[クリックジャック保護] をデフォルトで有効化
Salesforce.com Spring ’14
・Salesforce1 レポートのクリックジャック保護の有効化
Salesforce Spring '15
22

23. Sitesの詳細画面で以下の設定ができます。
23
クリックジャック保護
Sitesを使う場合の設定

24. セキュリティヘルスチェック
24

25. セキュリティコードスキャナー
25
http://security.force.com/security/tools/forcecom/scanner

26. 参考リンク
・Force.comセキュリティリソース https://developer.salesforce.com/page/JP:Security
・開発者向けセキュリティクイズ http://security.force.com/platformquiz
・セキュリティヘルスチェックのAppExchange https://appexchange.salesforce.com/apex/listingDetail?listingId=a0N300000018mjUEAQ
→現状インストールできない（残念）
・セキュリティコードスキャナー http://security.force.com/security/tools/forcecom/scanner
・セキュリティインプリガイド https://developer.salesforce.com/docs/atlas.ja-jp.securityImplGuide.meta/securityImplGuide/security_overview.htm
・セキュアコーディングガイドライン https://developer.salesforce.com/page/JP:Secure_Coding_Guideline
クロスサイトスクリプティング、SQL インジェクションと SOQL インジェクション、クロスサイト・リクエストフォージェリ (CSRF)
セキュリティ保護された通信と Cookie、重要データの保存、想定外のリダイレクト、認証とアクセス制御、オブジェクトレベル
項目レベルでのセキュリティ、シングルサインオンのセキュリティ
・Salesforce.comの情報セキュリティについて(スライドシェア) http://www.slideshare.net/DeveloperForceJapan/ss-36940377
26