2019-11 Webアプリケーションセキュリティ/2019-11 Web application Security

開発運用研修 2019 セキュリティ PSIRT 大塚純平

この講義の内容 ▌情報セキュリティ(5分) ▌サイボウズで検出している脆弱性とハンズオン(60分) • クロスサイト・スクリプティング (XSS) ★ハンズオン • SQLインジェクション(SQLi) ★ハンズオン
• 情報漏えい • クロスサイトリクエストフォージェリ（CSRF）★ハンズオン • HTTPのセキュリティ機能 ▌やられサイト (20分) ▌脆弱性の見つけ方(5分)

情報セキュリティ

情報セキュリティ「情報セキュリティ」とは「CIA(機密性、完全性、可用性)」を維持することです。 Confidentiality 認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また開示しない特性。 Availability 認可されたエンティティが要求したときに、アクセス及び使
用が可能である特性。 Integrity 正確さ及び完全さの特性。 JIS Q 27000

情報資産情報資産 ▌情報セキュリティで保護すべき対象となるもの。情報資産は様々であり、組織そのものや人も該当します。 • 電子媒体(DVD・メモリスティック) • 印刷物 • 設備
• パソコン

脆弱性脆弱性 ▌脆弱性とは、セキュリティ上の問題箇所のこと。 • ソフトウェア製品の本来の機能や性能を損なう原因となりうる箇所 • 不適切な運用により、セキュリティが維持できなくなっている状態

脅威脅威 ▌組織に損害を与える可能性の「潜在的な原因」 • 脆弱性を利用して、リスクを現実化させる手段であり、自然災害なども含まれる。

サイボウズで検出している脆弱性

脆弱性の種別サイボウズでは、脆弱性の種別として CWE 識別子を利用しています。 ▌CWE(Common Weakness Enumeration) とは非営利団体のMITREが中心となって策定している、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準です。
▌参考情報 https://www.ipa.go.jp/security/vuln/CWE.html

CWEタイプのツリー(全て/JVN iPedia) ▌CWEはツリー構造になっており、上位にある脆弱性ほど、抽象度が高くなります。企業ごとに取捨選択して利用しています。 CWE全体@NIST JVN iPedia ＠IPA

サイボウズで採用しているCWE識別子 ▌サイボウズで採用しているCWE識別子と脆弱性タイプ CWE-16 環境設定 CWE-287 不適切な認証 CWE-20 不適切な入力確認 CWE-352 クロスサイトリクエストフォージェリ（CSRF）
CWE-22 パス・トラバーサル CWE-362 競合状態 CWE-78 OSコマンド・インジェクション CWE-384 Session Fixation CWE-79 クロスサイト・スクリプティング (XSS) CWE-399 リソース管理の問題 CWE-89 SQLインジェクション CWE-601 Open Redirect CWE-93 CRLF Injection CWE-614 ログインの不備 - クッキーのセキュア属性不備 CWE-94 コードインジェクション CWE-Other その他 CWE-113 HTTPヘッダ・インジェクション CWE- DesignError 設計上の問題 CWE-200 情報漏えい CWE-264 認可・権限・アクセス制御

CWE-79 クロスサイト・スクリプティング (XSS) ▌XSS とは Webアプリケーションを通して、任意のスクリプトを利用者のブラウザで実施させる脆弱性です。被害者が使っているサイトA サイトA上で、スクリプトが実行されてしまい、情報が抜き取られたり、ページを改ざんされたり。
被害者が使っているサイトAや攻撃用のサイトクリックを誘導するURL (パラメーターにスクリプトがついている) 情報を収集するための攻撃用のサイト

XSS の原理(1) ▌HTMLタグや JavaScript などの構造を破壊するような値を入力することで、スクリプトを実行させます。

XSS の例① (対策前) <h1><?php echo $_GET['name'] ?>さん</h1> index.php?name=AAA URL: GETリクエストパラメーター
の値をそのまま表示させる AAAさん <scrip>alert(1)</script>さん index.php?name=<script>alert(1)</script>

<h1><?php echo htmlspecialchars($_GET['name’]) ?>さん</h1> index.php?name=AAA URL: GETリクエストパラメーターの値をエスケープして表示させる AAAさん <script>alert(1)</script>さん
XSS の例① (対策後) index.php?name=<script>alert(1)</script>

XSS の原理(2) ▌出力時に value の「””」の構造が破壊されて、任意の属性が追加される。

XSS の例② (対策前) <input type=“text” value= “a” onfocus=“alert(1)“ /> index.php?id=a”
onfocus=“alert(1) フォーカス時に、alert(1) が表示される <input type=“text” value=“<?php echo $_GET[‘id’] ?>” />

XSS の例② (対策後) index.php?id=a” onfocus=“alert(1) フォーカス時に何もならない <input type=“text” value=“<?php echo
htmlspecialchars($_GET[‘id’]) ?>” /> <input type=“text” value= "" onfocus="alert(1)"/>

XSSの種類 • 攻撃用のスクリプトが攻撃対象とは別の場所にある Reflected XSS • 攻撃用のスクリプトが攻撃対象のDB等に保管されている Stored XSS •
サーバーを経由せず、JSのみで表示するパラメータを経由して攻撃が実行される DOM Based XSS

原因と対策 • HTMLのエスケープ漏れ • 文字コードやコンテンツ型の自動判別への理解不足原因 • HTML は正しくエスケープする •
文字コードは必ず宣言する • コンテンツ型が HTML と判定されないようにする対策

CWE-89 SQLインジェクション(SQLi) ▌SQL インジェクションとは Web アプリケーションを通して、任意のSQL文をデータベースに対して発行できる脆弱性です。攻撃対象のサイトA サイトAからのリクエストにSQL文をデータベースに対して発行
攻撃対象サイトAのデータベース SQL文の結果をサイトAに返す。通常閲覧できないような情報が含まれることも…。

SQL インジェクションの原理(1) ▌DBMSに対して発行する SQL文の構造を破壊するような値を入力することでDBで不正な SQL文を実行します。 SELECT * FROM tbl_user
WHERE id =‘{$_GET[‘id’]}’ id =‘{$_GET[‘id’]}’

SQL インジェクションの原理(2) ▌SQL 文の構造を破壊され WHERE 句で指定される条件が常に「真」になり、情報が漏えいします。 SELECT * FROM
tbl_user WHERE id =‘{$_GET[‘id’]}’ id =‘’ OR 1=1 --’ ’ OR 1=1 -- userテーブルの情報がすべて表示される診断時には AND(‘ and 1=0) を使うことが推奨です。

原因と対策 • ユーザーが入力した文字列をエスケープしていない原因 • 静的プレースホルダやテンプレートエンジン等、フレームワークの支援機構を利用する • 別のシステムにデータを渡す際、ユーザーが入力した文字列を正しくエスケープすること
対策

CWE-200 情報漏えい ▌データの送り方次第では、情報が攻撃者に漏えいしてしまう場合があります。 • HTTPでの情報 • QueryString上の情報 • LocalStorageでの漏えい

秘密情報 ▌秘密情報とは外部に知られると致命的となる情報共通仕様として漏洩してはいけない情報を定義しています。認証情報もしくは、それに類する情報を秘密情報としています。 • アカウント • パスワード • 特定の人にしか送信しないURL情報
• CSRFチケット

HTTPで機密情報をやり取りしちゃダメ ▌HTTPの通信には、HTTPとHTTPSがありHTTPの場合にはMiTM(通信乗っ取り)されると情報を抜き取られてしまいます • HTTPは通信がそのままやり取りされています • HTTPSは通信が暗号化されてやり取りされています

QueryString に機密情報は乗せちゃダメ ▌たとえ、HTTPS通信でやり取りしていたとしてもQueryStringの情報は漏洩する可能性があります • Referer ヘッダからの漏えい • サーバーのログからの漏えい(管理者が閲覧可能)

Referer からの QueryString の漏えい ▌HTTP リクエストにはRefererというヘッダがあります。 ▌Referer は移動する前にどんなURLにアクセスしていたかの情報が記載されます製品ページ
▽ アクセスしていたURL https://hogehoge.cybozu.co m/hoge.cgi?user=username &pass=password 攻撃者のページ ▽ 送られるRefererヘッダ https://hogehoge.cybozu.co m/hoge.cgi?user=username &pass=password 遷移 usernameというユーザーのパスワードは passwordか。

CWE-352 クロスサイトリクエストフォージェリ（CSRF） ▌CSRF とは被害者が罠リンクをクリックして意図せずに処理を実行させられてしまう脆弱性です。 ▌参考情報 https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html 掲示板サイト広告のようなクリックを誘導するURL (実はサイトAの設定変更を行うURL)
被害者が使っているサイトA 例えば、非公開設定になっている記事を公開設定へ本人が変更したことに…

CSRF対策用のトークン ▌トークンをPOSTのリクエストボディのパラメーター送信しないと処理が行われないように対策します。掲示板サイト広告のようなクリックを誘導するURL (実はサイトAの設定変更を行うURL) 被害者が使っているサイトA 非公開設定を変えるためには POSTでアクセス且つ、サイトAのトークンが必要 GETだし、トークンは無いしで
エラーとしてはじかれる

サイボウズ製品のCSRF対策用のトークン ▌製品によってパラメーターが異なりますトークンの値が削除されると、不正なリクエストとして処理され、実行されません。 ▼kintone、サイボウズ共通管理、Store ▼Garoon、Office、メールワイズ

セキュリティ機能 ▌HTTP では、セキュリティ機能を設定することができます • X-XSS-Protection • X-Content-Type-Options • X-Frame-Options •
Content-Security-Policy • Content-Disposition: attachment; • Strict-Transport-Security 共通仕様として定められているものもあります。

X-XSS-Protection: 1; mode=block ▌ブラウザ側でも XSS を防ぐための保護機能 X-XSS-Protection: 1; mode=block ブラウザの設定で、デフォルトで有効になっている
XSS フィルター機能に対して、ユーザーが無効にしている場合にも、強制的に有効するための機能です。XSSと検知された場合は、レスポンスのコンテンツ全体が「#」に置き換えられます。

X-Frame-Options:SAMEORIGIN ▌フレーム内のページ表示を同一オリジンにのみ許可する保護機能

2019-11 Webアプリケーションセキュリティ/2019-11 Web application Security

2019-11 Webアプリケーションセキュリティ/2019-11 Web application Security

Cybozu
PRO

More Decks by Cybozu

Other Decks in Technology

Featured

Transcript

開発運用研修 2019 セキュリティ PSIRT 大塚純平

この講義の内容 ▌情報セキュリティ(5分) ▌サイボウズで検出している脆弱性とハンズオン(60分) • クロスサイト・スクリプティング (XSS) ★ハンズオン • SQLインジェクション(SQLi) ★ハンズオン

情報セキュリティ

情報資産情報資産 ▌情報セキュリティで保護すべき対象となるもの。情報資産は様々であり、組織そのものや人も該当します。 • 電子媒体(DVD・メモリスティック) • 印刷物 • 設備

脆弱性脆弱性 ▌脆弱性とは、セキュリティ上の問題箇所のこと。 • ソフトウェア製品の本来の機能や性能を損なう原因となりうる箇所 • 不適切な運用により、セキュリティが維持できなくなっている状態

脅威脅威 ▌組織に損害を与える可能性の「潜在的な原因」 • 脆弱性を利用して、リスクを現実化させる手段であり、自然災害なども含まれる。

サイボウズで検出している脆弱性

CWEタイプのツリー(全て/JVN iPedia) ▌CWEはツリー構造になっており、上位にある脆弱性ほど、抽象度が高くなります。企業ごとに取捨選択して利用しています。 CWE全体@NIST JVN iPedia ＠IPA

サイボウズで採用しているCWE識別子 ▌サイボウズで採用しているCWE識別子と脆弱性タイプ CWE-16 環境設定 CWE-287 不適切な認証 CWE-20 不適切な入力確認 CWE-352 クロスサイトリクエストフォージェリ（CSRF）

XSS の原理(1) ▌HTMLタグや JavaScript などの構造を破壊するような値を入力することで、スクリプトを実行させます。

XSS の例① (対策前) <h1><?php echo $_GET['name'] ?>さん</h1> index.php?name=AAA URL: GETリクエストパラメーター

<h1><?php echo htmlspecialchars($_GET['name’]) ?>さん</h1> index.php?name=AAA URL: GETリクエストパラメーターの値をエスケープして表示させる AAAさん <script>alert(1)</script>さん

XSS の原理(2) ▌出力時に value の「””」の構造が破壊されて、任意の属性が追加される。

XSS の例② (対策前) <input type=“text” value= “a” onfocus=“alert(1)“ /> index.php?id=a”

XSS の例② (対策後) index.php?id=a” onfocus=“alert(1) フォーカス時に何もならない <input type=“text” value=“<?php echo

XSSの種類 • 攻撃用のスクリプトが攻撃対象とは別の場所にある Reflected XSS • 攻撃用のスクリプトが攻撃対象のDB等に保管されている Stored XSS •

原因と対策 • HTMLのエスケープ漏れ • 文字コードやコンテンツ型の自動判別への理解不足原因 • HTML は正しくエスケープする •

SQL インジェクションの原理(1) ▌DBMSに対して発行する SQL文の構造を破壊するような値を入力することでDBで不正な SQL文を実行します。 SELECT * FROM tbl_user

SQL インジェクションの原理(2) ▌SQL 文の構造を破壊され WHERE 句で指定される条件が常に「真」になり、情報が漏えいします。 SELECT * FROM

CWE-200 情報漏えい ▌データの送り方次第では、情報が攻撃者に漏えいしてしまう場合があります。 • HTTPでの情報 • QueryString上の情報 • LocalStorageでの漏えい

QueryString に機密情報は乗せちゃダメ ▌たとえ、HTTPS通信でやり取りしていたとしてもQueryStringの情報は漏洩する可能性があります • Referer ヘッダからの漏えい • サーバーのログからの漏えい(管理者が閲覧可能)

Referer からの QueryString の漏えい ▌HTTP リクエストにはRefererというヘッダがあります。 ▌Referer は移動する前にどんなURLにアクセスしていたかの情報が記載されます製品ページ

セキュリティ機能 ▌HTTP では、セキュリティ機能を設定することができます • X-XSS-Protection • X-Content-Type-Options • X-Frame-Options •

X-XSS-Protection: 1; mode=block ▌ブラウザ側でも XSS を防ぐための保護機能 X-XSS-Protection: 1; mode=block ブラウザの設定で、デフォルトで有効になっている

X-Frame-Options:SAMEORIGIN ▌フレーム内のページ表示を同一オリジンにのみ許可する保護機能

2019-11 Webアプリケーションセキュリティ/2019-11 Web application Security

2019-11 Webアプリケーションセキュリティ/2019-11 Web application Security

Cybozu PRO

More Decks by Cybozu

Other Decks in Technology

Featured

Transcript

Cybozu
PRO