生PHPで学ぶSSRF.pdf

Transcript

1. 生PHPで学ぶSSRF 10/19（土） PHP勉強会in広島 vol.1 LT枠 @dyoshikawa

2. 簡単に自己紹介 • https://x.com/dyoshikawa1993 • 広島住みソフトウェアエンジニア • Next.js / Ruby on

   Rails など • 応用情報技術者 / AWS Security Specialtyなど

3. 留意事項 • 発表者もセキュリティ勉強中の身です（予防線） • コードは例示のために簡略化されているため、そのまま本番利用はしないでくださ い • 誤りがあればご指摘ください

4. SSRF知ってますか？

5. https://owasp.org/Top10/ja/ OWASP Top 10に入っている

6. 私のSSRFとの出会い • 今年（2024年）春に応用情報技術者試験合格 • 秋に情報処理安全確保支援士試験を申し込み • SSRF（サーバーサイドリクエストフォージェリ）を知る • CSRF（クロスサイトリクエストフォージェリ）は聞いたことあるけど、SSRFって何 ・・・？

7. SSRFとは

8. SSRFとは ネットワーク 公開サーバ 非公開サーバ 192.168.0.1 https://example.com として公開 GET https://example.com?target=http://192.168.0.1 任意のURLをパラメータとして受け付けて内容を取得するような

   Webアプリケーションの場合に 攻撃者がWebサーバ自身や非公開のサーバの情報を取得できてしまう脆弱性

9. 任意のURLを受け付ける生PHP ※脆弱なコードです

10. 任意のURLを受け付けるWebアプリなんかある？ 実は結構ある • ChatGPTに任意のURLを渡して「このページを要約して」と依頼 • XやFacebookに任意のURLを渡してリンクカード（OGP）を表示

11. どうすればいいの？

12. SSRF対策 • 可能であれば、任意のURLを受け付ける仕様をやめる • URLをホワイトリストで管理して検証する、IDとURLのテーブルを作ってIDを受け取 るようにするなど

13. URLをホワイトリストで制限

14. とはいえ仕様がそれを許さない場合もある • 任意のURLを受け付けないと機能要件が満たせない場合、決定版な対策はない • ネットワーク分離 +、形式の検証、WAF、生のレスポンスをそのままクライアントに返さない など組み合わせて対策する • ブラックリスト方式はダメ、簡単に迂回される https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/

15. 参考 • https://owasp.org/Top10/ja/ • https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SS RF%29/ • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forg ery.html •

    https://zenn.dev/chot/articles/88ea57e3108978 • https://www.docswell.com/s/wild0ni0n/5DENY9-2023-05-08-115632

16. Thank you