Downloaded 77 times
![外部実体参照とは
8
XMLの実体(entity)はXMLの文書型定義中で以下のように宣言する。
宣言した実体は、XML文書内で、&greeting; &external-file;という形
(実体参照)で参照できる。
<?xml version="1.0" encoding="utf8"?>
<!DOCTYPE foo [
<!ENTITY greeting "こんにちは">
<!ENTITY externalfile SYSTEM "external.txt">
]>
<foo>
<hello>&greeting;</hello>
<ext>&externalfile;</ext>
</foo>
<foo>
<hello>こんにちは</hello>
<ext>Hello World</ext>
</foo>](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-8-2048.jpg)
![こんなプログラムが脆弱
<?php
$doc = new DOMDocument();
$doc->load($_FILES['user']['tmp_name']);
$name = $doc->getElementsByTagName('name')->item(0)->textContent;
$addr = $doc->getElementsByTagName('address')->item(0)->textContent;
?><body>
以下の内容で登録しました<br>
氏名: <?php echo htmlspecialchars($name); ?><br>
住所: <?php echo htmlspecialchars($addr); ?><br>
</body>
9
XMLを外部から受け取り解析している](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-9-2048.jpg)
![外部実体参照によるファイルアクセス
11
URL:http://example.jp/4e/4e-020.html
/etc/hostsを外部参照で指定したXMLファイルをアップロードしてみる。
<?xml version="1.0" encoding="utf8"?>
<!DOCTYPE foo [
<!ENTITY hosts SYSTEM "/etc/hosts">
]>
<user>
<name>安全太郎</name>
<address>&hosts;</address>
</user>](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-11-2048.jpg)
![SSRF攻撃用のXML
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE foo [
<!ENTITY credential SYSTEM "http://169.254.1
69.254/latest/meta-data/iam/security-credent
ials/test-role">
]>
<user>
<name>徳丸浩</name>
<address>&credential;</address>
</user>
14](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-14-2048.jpg)
![XXE脆弱性の対策
• libxml2のバージョン2.9以降を用いる
libxml2のバージョン2.9以降はデフォルトで外部実体参照を停止する設定
になっているため、XXEに対して脆弱ではない。
ただし、PHP側で外部実体参照を許可する設定にしている場合は例外。
※PHP側で外部実体参照を許可する脆弱な例
• libxml_disable_entity_loader(true)を呼び出す
PHPバージョン5.2.11以降にはlibxml_disable_entity_loaderという関数
が用意されており、下記のように呼び出す事で、libxml2やPHP側の処理内
容にかかわらず、外部実体参照を禁止できる。
17
$doc = new DOMDocument();
// ↓ 外部実体参照を許可…XXE脆弱
$doc->substituteEntities = true;
$doc->load($_FILES['user']['tmp_name']);
libxml_disable_entity_loader(true); // 外部実体読込み禁止](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-17-2048.jpg)
![:Foo
func:
安全でないデシリアライゼーションによる任意コード実行
20
:配列
0:
1: 'exec'
:Bar
func = 'system'
args = ['whoami']
1. Fooオブジェクトのデストラクタが呼ばれる
2. call_user_func($this->func) が呼ばれる
3. Barオブジェクトのexecメソッドが呼ばれる
4. Barオブジェクトのexecメソッド内で、call_user_func_array('system', ['whoami']) が呼
ばれる
5. system('whoami') が呼ばれる
class Foo {
private $func;
public function __destruct() {
call_user_func($this->func);
}
}
class Bar {
private $func;
private $args;
public function exec() {
call_user_func_array(
$this->func, $this->args);
}
}](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-20-2048.jpg)
![JSONPのコールバック関数名によるXSS(Web APIの例)
52
<?php
$callback = $_GET['callback']; // クエリ文字列からコールバック関数名を得る
$json = json_encode(array('time' => date('G:i')));
echo "$callback($json);"; // コールバック関数の形でそのまま出力
callback=<script>alert(1)</script>](https://image.slidesharecdn.com/phpconf2018-181215042037/75/Web-2018-52-2048.jpg)
More Related Content
More from Hiroshi Tokumaru
安全なWebアプリケーションの作り方2018
- 1.
- 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASPTop 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリケーションの作り方 改訂 – PDFのFormCalcによるコンテンツハイジャック 2
- 3. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューショ ンズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立上げ • 現在 – EGセキュアソリューションズ株式会社 代表 https://www.eg-secure.co.jp/ – 独立行政法人情報処理推進機構 非常勤研究員 https://www.ipa.go.jp/security/ – 著書「体系的に学ぶ 安全なWebアプリケーションの作り方」(2011年3月) 同 第2版が 2018年6月21日発売 「徳丸浩のWebセキュリティ教室 」(2015年10月) – 技術士(情報工学部門) 3
- 4. OWASP Top 10– 2017を巡る話題 4
- 5.
- 6. OWASP Top 10– 2017 の内容 6 項番 内容 A1 インジェクション A2 認証の不備 A3 機微な情報の露出 A4 XML外部エンティティ参照(XXE) A5 アクセス制御の不備 A6 不適切なセキュリティ設定 A7 クロスサイトスクリプティング(XSS) A8 安全でないデシリアライゼーション A9 既知の脆弱性のあるコンポーネントの使用 A10 不十分なロギングとモニタリング New
- 7.
- 8. 外部実体参照とは 8 XMLの実体(entity)はXMLの文書型定義中で以下のように宣言する。 宣言した実体は、XML文書内で、&greeting; &external-file;という形 (実体参照)で参照できる。 <?xml version="1.0"encoding="utf8"?> <!DOCTYPE foo [ <!ENTITY greeting "こんにちは"> <!ENTITY externalfile SYSTEM "external.txt"> ]> <foo> <hello>&greeting;</hello> <ext>&externalfile;</ext> </foo> <foo> <hello>こんにちは</hello> <ext>Hello World</ext> </foo>
- 9. こんなプログラムが脆弱 <?php $doc = newDOMDocument(); $doc->load($_FILES['user']['tmp_name']); $name = $doc->getElementsByTagName('name')->item(0)->textContent; $addr = $doc->getElementsByTagName('address')->item(0)->textContent; ?><body> 以下の内容で登録しました<br> 氏名: <?php echo htmlspecialchars($name); ?><br> 住所: <?php echo htmlspecialchars($addr); ?><br> </body> 9 XMLを外部から受け取り解析している
- 10.
- 11. 外部実体参照によるファイルアクセス 11 URL:http://example.jp/4e/4e-020.html /etc/hostsを外部参照で指定したXMLファイルをアップロードしてみる。 <?xml version="1.0" encoding="utf8"?> <!DOCTYPEfoo [ <!ENTITY hosts SYSTEM "/etc/hosts"> ]> <user> <name>安全太郎</name> <address>&hosts;</address> </user>
- 12. SSRF(Server side requestforegery)攻撃 12 公開サーバー アクセス 直接アクセス不可 内部のサーバー SSRF 203.0.113.2 192.168.0.5
- 13. EC2インスタンスからクレデンシャル取得 $ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/test- role { "Code": "Success", "LastUpdated" : "2018-12-14T04:18:31Z", "Type" : "AWS-HMAC", "AccessKeyId" : "ASIAR6MQXXXXXXXXXXXX", "SecretAccessKey" : "fksJ2MS/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX", "Token" : "FQoGZXIvYXdzEL7//////////wEaDMvvWcaPXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXX=", "Expiration" : "2018-12-14T10:54:27Z" } 13 DEMO:XXEによるSSRF攻撃でやってみよう
- 14. SSRF攻撃用のXML <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE foo [ <!ENTITY credential SYSTEM "http://169.254.1 69.254/latest/meta-data/iam/security-credent ials/test-role"> ]> <user> <name>徳丸浩</name> <address>&credential;</address> </user> 14
- 15.
- 16.
- 17. XXE脆弱性の対策 • libxml2のバージョン2.9以降を用いる libxml2のバージョン2.9以降はデフォルトで外部実体参照を停止する設定 になっているため、XXEに対して脆弱ではない。 ただし、PHP側で外部実体参照を許可する設定にしている場合は例外。 ※PHP側で外部実体参照を許可する脆弱な例 • libxml_disable_entity_loader(true)を呼び出す PHPバージョン5.2.11以降にはlibxml_disable_entity_loaderという関数 が用意されており、下記のように呼び出す事で、libxml2やPHP側の処理内 容にかかわらず、外部実体参照を禁止できる。 17 $doc= new DOMDocument(); // ↓ 外部実体参照を許可…XXE脆弱 $doc->substituteEntities = true; $doc->load($_FILES['user']['tmp_name']); libxml_disable_entity_loader(true); // 外部実体読込み禁止
- 18.
- 19. 安全でないデシリアライゼーションによる任意コード実行 19 Foo Bar class Foo { private$func; public function __destruct() { call_user_func($this->func); } } class Bar { private $func; private $args; public function exec() { call_user_func_array($this->func, $this->args); } }
- 20. :Foo func: 安全でないデシリアライゼーションによる任意コード実行 20 :配列 0: 1: 'exec' :Bar func ='system' args = ['whoami'] 1. Fooオブジェクトのデストラクタが呼ばれる 2. call_user_func($this->func) が呼ばれる 3. Barオブジェクトのexecメソッドが呼ばれる 4. Barオブジェクトのexecメソッド内で、call_user_func_array('system', ['whoami']) が呼 ばれる 5. system('whoami') が呼ばれる class Foo { private $func; public function __destruct() { call_user_func($this->func); } } class Bar { private $func; private $args; public function exec() { call_user_func_array( $this->func, $this->args); } }
- 21.
- 22. Welcart 1.9.4 をリリースしました【脆弱性の修正】 Welcart1.9.4 をリリースしました。オブジェクトインジェクション 脆弱性の修正などを行いました。詳細は以下の通りです。 アップグレードを行う場合は、Welcartを停止してからアップグレー ドを行ってください。 【変更点】 • オブジェクトインジェクション脆弱性の修正 フロントにて、オブジェクトインジェクションと思われる脆弱性 が認められました。 過去のすべてのバージョンが対象となります。1.9.4にアップグ レードしてください。 放置しますと、サイトに任意のファイルの埋め込まれる可能性が あります。 脆弱性に関する修正の差分はこちら 22https://www.welcart.com/community/archives/83947より引用
- 23.
- 24. Welcart 1.9.3 と1.9.4の差分 24 https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=1728429% 40usc-e-shop&old=1728428%40usc-e-shop&sfp_email=&sfph_mail= より引用 典型的な オブジェクトインジェクション脆弱性
- 25. 攻撃に利用できるクラス: All-in-one EventCalendar より class Ai1ec_Shutdown_Controller { protected $_preserve; protected $_restorables; protected $_callbacks; public function __destruct() { // replace globals from our internal store $restore = array(); foreach ( $this->_preserve as $name => $class ) { // 略 } // execute callbacks foreach ( $this->_callbacks as $callback ) { call_user_func( $callback ); } // 後略 } // 後略 } 25 攻撃に利用可能
- 26. 攻撃に利用できるクラス: ManageWP Workerより class MWP_WordPress_HookProxy { private $callback; private $args; // 省略 public function hook() { call_user_func_array($this->callback, $this->args); } } 26 攻撃に利用可能 Demo
- 27. 安全でないデシリアライゼーションの対策 • シリアライズ形式ではなくJSON 形式によりデータ を受け渡す •クッキーやhidden パラメータではなくセッション 変数など書き換えできない形でシリアライズ形式の データを受け渡す • HMACなどの改ざん検知の仕組みを導入してデータ が改ざんされていないことを確認する 27
- 28. デモ • WordPress +Welcart + All-in-one Event Calendar + ManageWP Worker (WordPressプラグイン)の環境 • Welcart の 安全でないデシリアライゼーションを用いてリ モートコード実行 • WebShell設置 • 上記をNetBeas上でトレースします 28
- 29.
- 30.
- 31. 経産省:クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2018(「実行計画 2018」)を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~ 前略 クレジット取引セキュリティ協議会の「実行計画」は、割賦販売法 に規定するセキュリティ対策の実務上の指針と位置付けられており、 「実行計画」に掲げる措置又はそれと同等以上の措置を講じている 場合には、セキュリティ対策に係る法的基準を満たしていると認め られます。したがって、クレジット取引関連事業者は、「実行計 画」を指針とした取組を着実に進めていく必要があります。 2.「実行計画2018」の主な改訂事項 (1)クレジットカード情報の適切な保護について • カード情報の非保持化又は同等/相当を推進します。 – 通販(メールオーダー・テレフォンオーダー)加盟店における 非保持化又は同等/相当の具体的方策をとりまとめました。 –対面加盟店における非保持化同等/相当の追加的方策をとりま とめました。 31http://www.meti.go.jp/press/2017/03/20180301005/20180301005.html より引用
- 32.
- 33.
- 34.
- 35.
- 36.
- 37.
- 38.
- 39.
- 40.
- 41.
- 42. 主な改定内容(増えたもの) • CORS • クリックジャッキング •ファイルアップロード(PDFのFormCalc) • 構造化データの読み込みにまつわる問題 – 安全でないデシリアライゼーション、XXE • キャッシュからの情報漏えい • Web APIにまつわる問題 • JavaScriptの問題 • 脆弱性診断入門 • OWASP Top 10 -2017 完全ほぼ対応 42
- 43.
- 44.
- 45. PDFのFormCalcによるコンテンツハイジャックの概要 • PDFドキュメントにFormCalcというスクリプトを埋 め込むことができる • AdobeAcrobat Readerに実装されたFormCalcには URL関数という機能があり、HTTPリクエストを呼び 出し、結果を受け取ることができる • FormCalcのURL関数を用いた仕掛けを組み込んだ PDFファイルをアップロードすることにより、正規 ユーザに成りすましを行う攻撃手法が考案されてい る • 主な攻撃対象はIEユーザ 45
- 46.
- 47. FormCalcを組み込んだ罠の閲覧(攻撃) 攻撃対象サイト example.jp 罠サイト trap.example.com HTML+JavaScript PDF (FormCalc) 罠ページ ① クッキーつきリクエスト ② 秘密情報 ③秘密情報が罠ページに渡る ⓪ 元々example.jpに ログインしている ログイン画面 秘密情報 GET /31/31-022.php HTTP/1.1 Accept: */* User-Agent: Mozilla/3.0 (compatible; Spider 1.0; Windows) Cookie: PHPSESSID=4aage527dbubc9d088ekf68rj0 Host: example.jp 47
- 48.
- 49. FormCalcの問題は「アプリケーションの脆弱性」なのか? • 「脆弱なサンプル」に狭義のバグはない • AdobeReaderの「セキュリティ上好ましくない仕 様」が原因と考えられる • したがって、Adobe Readerの仕様が見なされるべ きものだが… • 現実に攻撃ができる以上、アプリ側でもなんらかの 対処が求められる – PDFのアップロードを禁止する – IE(等攻撃が成功するブラウザ)を禁止する – Acrobat Reader Pluginを無効化するようユーザーに要請 する – アプリ側でなんとか頑張る 49
- 50. FormCalcによるコンテンツハイジャックの対策 • 以下の両方を実施 – PDFファイルはブラウザ内で開かずダウンロードを強制 する – PDF をobject要素やembed要素では開けない仕組みを実 装する • 後者を実現するにはどうすればいい? – 複数の方法が考えられるが… – サンドボックス・ドメインを用いる方法 – 例えばPOSTリクエストに限定する方法がある • POSTは嫌ですか?…実は僕も嫌なんですが… – 凝った方法を採用してももちろん良いが、Adobe Reader のイケテナイ仕様への対処に手間をかけても… 50
- 51. 一方、画像によるXSSは記述を削除 • IE7以前では、Content-Typeが正しくても、マジッ クバイトがContent-Typeとマッチしていないと HTMLとして認識される「仕様」だった • IE8以降は、X-Content-Type-Options:nosniff で対処 可能 • さすがにIE7はもういいだろう、と削除を決断 *2:MS07-057を適用していないとHTMLと解釈される 51 https://blog.tokumaru.org/2007/12/image-xss-summary.html
- 52. JSONPのコールバック関数名によるXSS(Web APIの例) 52 <?php $callback =$_GET['callback']; // クエリ文字列からコールバック関数名を得る $json = json_encode(array('time' => date('G:i'))); echo "$callback($json);"; // コールバック関数の形でそのまま出力 callback=<script>alert(1)</script>
- 53. JSONPのコールバック関数名によるXSS の原因と対策 • 原因 –JSONPのMIMEタイプはtext/javascript (application/javascript)なのに、 text/htmlとしている – コールバック関数名の文字種チェックをしていない • 対策 – MIMEタイプをtext/javascriptとする Content-Type: text/javascript; charset=UTF-8 – コールバック関数名の文字種を英数字とアンダースコア に限定する 53
- 54. Dom Based XSS(JavaScriptの問題の例) 54 <body> <script> window.addEventListener("hashchange", chghash, false); window.addEventListener("load", chghash, false); function chghash() { var hash = decodeURIComponent(window.location.hash.slice(1)); var color = document.getElementById("color"); color.innerHTML = hash; } </script> <a href="#赤">赤</a> <a href="#緑">緑</a> <a href="#青">青</a> <p id="color"></p> </body> 脆弱な例: フラグメント識別子を表示するだけのスクリプト
- 55. DOM Based XSSの攻撃例 •Script要素による攻撃は有効にならない <script>alert(1)</script> など • img 要素のonerror属性などは攻撃に使える <img src=# onerror=alert(1)> • 上記を含むHTMLをinnerHTMLに挿入すると、JavaScriptが実 行される • document.writeであれば、script要素でも攻撃可能 55
- 56. 対策: Dom BasedXSS • 『DOM Based XSS』に関するレポート に詳しい • document.writeやinnerHTMLの使用を避ける • DOM操作APIを用いる or 適切なエスケープ処理 • jQueryを用いる場合は html()メソッドではなく、text()メソッドを用いる function chghash() { var hash = window.location.hash; var color = document.getElementById("color"); // 脆弱 // color.innerHTML = // decodeURIComponent(window.location.hash.slice(1)); // 対策 color.textContent = decodeURIComponent(window.location.hash.slice(1)); } 56
- 57.
- 58.
- 59. ウェブ・セキュリティ試験(通称:徳丸試験)を2019年12月より開始 一般社団法人BOSS-CON JAPAN(代表理事:吉政忠志、所在:東京都世田 谷区、以下「BOSS-CON JAPAN」)は、BOSS-CONJAPAN内組織である PHP技術者認定機構が国内Webセキュリティ第一人者である徳丸浩氏が代 表を務めるEGセキュアソリューションズ株式会社の支援を受け、ウェブ・ セキュリティ試験(通称:徳丸試験)を2019年12月より開始することを発 表いたしました。なお、本試験問題はEGセキュアソリューションズ株式会 社が作成いたします。 ■ウェブ・セキュリティ試験実施の背景 全世界で稼働しているWebサイトは5億サイトになりました。企業にとって も重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、 攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリ ティに対する対策は以前よりまして緊密且つ迅速に施さなければなりませ ん。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意 識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェ ブ・セキュリティの名著として知られる徳丸浩氏による「体系的に学ぶ 安 全なWebアプリケーションの作り方 第2版」を採用し、本書を基本的な出題 範囲として基礎的な知見を問う試験と実務知識を問う試験を実施いたしま す。 62https://www.phpexam.jp/news/tokumarushiken/ より引用
- 60. ウェブ・セキュリティ試験概要 試験名称:ウェブ・セキュリティ試験(仮称) 通称名:徳丸試験 試験グレード: ・ウェブ・セキュリティ基礎試験(2019年12月) ・ウェブ・セキュリティ実務知識試験(実施時期未定) 試験開始:2019年12月 運営団体:一般社団法人BOSS-CON JAPAN PHP技術者認定機構 受験料金:1万円(外税) ※学生および教職員は50%オフでの受験が可能になります。 試験センター:全国のオデッセイコミュニケーションズCBTテストセンター 設問数40問 合格:70%正解 主教材:「体系的に学ぶ安全なWebアプリケーションの作り方 第2版」 (SBクリエイティブ) 63https://www.phpexam.jp/news/tokumarushiken/ より引用
- 61. まとめ • 最近のウェブセキュリティを取り巻く話題 • OWASPTop 10 – 2017や徳丸本改版を巡る話題 – PDFのFormCalcによるコンテンツハイジャック – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリケーションの作り方 第2版を読もう • そして、「徳丸試験」を受けて理解度を確認しよう 64