安全なWebアプリ構築1回

SNS作成を通して学ぶ
安全なWebアプリ構築第1回*
金子純也**
*第2回MPSミーティング (2014年6月7日) 資料
**Morning Project Samurai 代表
Copyright (c) 2014 Junya Kaneko

本シリーズの位置づけと目的
位置づけ:
- MPSメンバー用SNS開発プロジェクトの一環
目的:
- 安全なMPSメンバー用SNSの開発
- 安全なWebアプリの開発方法の実践的な学習
第2回MPSミーティング (2014年6月7日) 資料 Copyright (c) 2014 Junya Kaneko

目次
• Webアプリにおける安全 (概要)
• XSS脆弱性のあるサイトの改善 (実習)
• MPSメンバー用SNSについて

Webアプリの定義 by W3C
HTTPによって伝達される、XHTMLやその派生とCSSで 
作られた、サーバサイドまたはクライアントサイド・ 
プロセッシングを用いて、Web ブラウザ上であたかも 
アプリケーションのように振る舞う単一または複数の 
Web ページの集合
A Web page (XHTML or a variant thereof + CSS) or collection
of Web pages delivered over HTTP which use server-side or
client-side processing (e.g. JavaScript) to provide an
"application-like" experience within a Web browser. Web
applications are distinct from simple Web content (the focus
of BP1) in that they include locally executable elements of
interactivity and persistent state.
(出典: W3C, http://www.w3.org/TR/mwabp/#webapp-deﬁned. 訳: 金子純也 )

Webアプリの定義の要約
ブラウザ内でアプリケーションのように振る舞う
Webサイト

Webアプリの例
Facebook
(出典: www.facebook.com) (出典: www.amazon.co.jp)
Amazon

Webアプリではないサイトの例

Webアプリに関わる事件1
SQLインジェクションによりショッピングサイトで 
10万人分の個人情報が漏洩
被害:
- 営業停止
- 賠償金5000万円相当の買い物ポイント
- 詫び状送付関連費用
- 調査人件費
- 被害者対応人件費
- 失った顧客と信用
(出典:IPA, 脆弱性により引き起こされた被害, http://www.ipa.go.jp/ﬁles/000024375.pdf)

Webアプリに関わる事件2
OSコマンド・インジェクションによるレンタルサーバ内の 
200以上のサイトのトップページの改ざん
被害:
- 調査人件費
- 被害者対応人件費
- レンタルサーバ構成変更人件費
- コンテンツ復旧対応人件費
- 失った顧客と信用
(出典:IPA, 脆弱性により引き起こされた被害, http://www.ipa.go.jp/ﬁles/000024375.pdf)

その他の事例
• Amazon Webサービスのダウン (2008年) 
- Twitter 等の他のWebサービスに影響
• CD Universe のクレジット顧客情報の漏洩 (2000年) 
- 約13万人分の個人情報が流出
• アルバイトが度を超えた悪ふざけ画像をSNSに 
アップロード(2013年) 
- 店の信用や（恐らく）顧客の欠失

Webアプリの安全の重要性
安全でないWebアプリ
運営者ユーザー
多大な損害

Webアプリにおける事故
• データの漏洩
• データの改ざん
• データの整合性の崩壊
• クラッキング行為の踏み台となる
• ダウン
Q1: Webアプリの上記以外の事故は？？

Q1に対する皆の回答
• フィッシング 
（似たようなサイドでだます。インラインフレーム
で、ホントのサイトを表示するように見せかける。
対象のサイトを間接的に操作可能。東京三菱UFJの
詐欺｡メールできっかけを作る。）
• ユーザーの信用を逆手に取る
• プレステ情報流出

Webアプリにおけるハザード
• 意図しないデータの送信
• 意図しないデータの書き換え
• 意図しないアクセス権限設定
• データ同士の関連に課された制約からの逸脱
• エラー処理漏れ
• 不正なスクリプトの受け入れ、もしくは実行
• パケット受け入れ過多
• 不正なアクセスの検知漏れ
Q2: Webアプリの上記以外のハザードは？？

安全なWebアプリの要件
• 意図しないデータの送信をしてはならない
• 意図しないデータの書き換えをしてはならない
• 意図しないアクセス権を設定してはならない
• データ同士の関連に課された制約は守らなければならない
• エラー処理を漏らしてはならない
• パケットの受け入れ制限を適切に行わなくてはならない
• 不正なスクリプトの受け入れ、実行をしてはならない
• 不正なアクセスは検知しなければならない
Q3: 安全なWebアプリの上記以外の要件は？？

• DOS
• ポート解放

良く知られた脆弱性1
• クロスサイト・スクリプティング (XSS)
• HTTPヘッダ・インジェクション
• SQLインジェクション
• OSコマンド・インジェクション
• メールヘッダ・インジェクション
(出典: 徳丸浩, 安全なWebアプリケーションの作り方)

良く知られた脆弱性2
• ディレクトリ・トラバーサル
• クロスサイト・リクエストフォージェリ
• セッションフィクセーション
• 認証不備
• 認可不備
(出典: 徳丸浩, 安全なWebアプリケーションの作り方)

• ブルートフォースアタック (BFA)

XSSをつく攻撃の概要
ユーザー悪意のあるサイト
Webアプリ
(XSS)
1. アクセス 2. スクリプト
汚染された
Webアプリ
3. 提示
4. 入力
攻撃者
5. ユーザーの入力情報

XSSをつく攻撃の原理
import cgi
html = """<!DOCTYPE HTML>
<html><head><title>XSS Sample 01</title></head>
<body>
<h1>XSS Sample 01</h1>
<form method='POST' action='xss01.py'>
User name: <input type='text' name='uname'></input>
<input type='submit'></input>
</form>
<p>Hello %s!</p>
</body>
</html>"""
form = cgi.FieldStorage()
print "Content-type:text/html"
print ""
print ""
name = form.getﬁrst("uname", "")
if name is "":
name = "guest"
print html % (name)
• Junyaと入力
• Login押下
xss01.py

XSSをつく攻撃の原理 (続き)
import cgi
<body>
</form>
<p>Hello %s!</p>
</body>
</html>"""
print ""
print ""
if name is "":
name = "guest"
print html % (name)
• JavaScript入力
• Login押下
xss01.py

XSSの原因
import cgi
<body>
</form>
<p>Hello %s!</p>
</body>
</html>"""
print ""
print ""
if name is "":
name = "guest"
print html % (name)
• JavaScript入力
• Login押下
ユーザー入力の
エコーバック
xss01.py

XSSをつく攻撃の実験
Q4:
XSSのあるSNSのユーザーのセッションIDを抜き取る方法を 
考えて、実際にコーディングしてみよう
(次スライドに、脆弱性のあるサイトのコード記載)
Q5:
XSSはWebアプリにおけるどのハザードを引き起こすか？
Q6:
XSSをなくすには？

XSSのあるサイトのコード
import cgi, Cookie, mysql.connector
member_name = form.getfirst("mname","")
password = form.getfirst("pwd","")
query = ("SELECT id FROM members where name='%s' and pwd='%s'"
% (member_name, password))
cnx = mysql.connector.connect(user = 'root', database = 'mps')
cursor = cnx.cursor()
cursor.execute(query)
result = cursor.fetchall()
cursor.close()
cnx.close()
if len(result) == 0:
print "Content-Type: text/htmlnnn"
print """
<html>
<head>
<title>Login failure</title>
<meta http-equiv='refresh' content='1; url=http://localhost/~jyuneko/cgi-bin/safer_webapp/lecture1/q4/login.html'>
</head>
<body>
<h1>Login failure</h1>
<p>The member name %s or the given password is incorrect.</p>
</body>
</html>""" % member_name
elif len(result) == 1:
cookie = Cookie.SimpleCookie()
cookie['sid'] = 'samplesid'
print cookie
print """
<html>
<head>
<title>MPS SNS</title>
</head>
<body>
<h1>MPS SNS</h1>
<p>Welcome to MPS %s</p>
</body>
</html>""" % member_name
else:
print """
<html>
<head>
<title>Fatal database error</title>
</head>
<body>
<h1>Fatal database error</h1>
<p>A fatal database error occured. Please contact to the administrator.</p>
</body>
</html>"""
login.py
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
<html>
<head>
<title>Login</title>
<style>
ul#login_form {
list-style-type: none;
}
li#login_form {
margin-bottom: 5px;
}
</style>
</head>
<body>
<h1>Login</h1>
<form method='post' action='login.py'>
<ul id='login_form'>
<li id='login_form'>Member Name: <input type='text' name='mname'></input></li>
<li id='login_form'>Password: <input type='password' name='pwd'></input></li>
<li id='login_form'><input type='submit' value='login'></input></li>
</ul>
</form>
<hr>
<address></address>
Last modified: Thu Jun 5 02:54:39 JST 2014 
</body> </html>
login.html

XSSへの対策
(出典: IPA, セキュリティ実装チェックリスト)

その他の脆弱性の発見と解決
Q7:
Q4のサンプルコード中に含まれる、その他の脆弱性と 
その解決方法は？

さらなる学習の為に
• IPA: 安全なウェブサイトの作り方.  
https://www.ipa.go.jp/security/vuln/websecurity.html
• 徳丸浩: 安全なWebアプリケーションの作り方. 
ソフトバンククリエイティブ出版

安全なWebアプリ構築1回

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 安全なWebアプリ構築1回

Similar to 安全なWebアプリ構築1回 (20)

More from Project Samurai

More from Project Samurai (20)

安全なWebアプリ構築1回