Upgrade to Pro — share decks privately, control downloads, hide ads and more …

生PHPで学ぶSSRF.pdf

Avatar for dyoshikawa dyoshikawa
October 08, 2024
0
140

 生PHPで学ぶSSRF.pdf

Avatar for dyoshikawa

dyoshikawa

October 08, 2024
Tweet

More Decks by dyoshikawa

See All by dyoshikawa
エンジニア向けコミュニティZennの開発チームを支える自動化の仕組み.pdf
Avatar for dyoshikawa dyoshikawa1993
0
2.2k
Zennへのスパム投稿が急増したのでLLMでなんとかした話
Avatar for dyoshikawa dyoshikawa1993
0
1.1k
Google Cloud Vertex AIにおけるGemini vs Claude
Avatar for dyoshikawa dyoshikawa1993
0
180
OSSコミットしてZennの課題を解決した話
Avatar for dyoshikawa dyoshikawa1993
0
490

Featured

See All Featured
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.8k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
770
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
860
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.1k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k

Transcript

  1. 生PHPで学ぶSSRF 10/19(土) PHP勉強会in広島 vol.1 LT枠 @dyoshikawa

  2. 簡単に自己紹介 • https://x.com/dyoshikawa1993 • 広島住みソフトウェアエンジニア • Next.js / Ruby on

    Rails など • 応用情報技術者 / AWS Security Specialtyなど

  3. 留意事項 • 発表者もセキュリティ勉強中の身です(予防線) • コードは例示のために簡略化されているため、そのまま本番利用はしないでくださ い • 誤りがあればご指摘ください

  4. SSRF知ってますか?

  5. https://owasp.org/Top10/ja/ OWASP Top 10に入っている

  6. 私のSSRFとの出会い • 今年(2024年)春に応用情報技術者試験合格 • 秋に情報処理安全確保支援士試験を申し込み • SSRF(サーバーサイドリクエストフォージェリ)を知る • CSRF(クロスサイトリクエストフォージェリ)は聞いたことあるけど、SSRFって何 ・・・?

  7. SSRFとは

  8. SSRFとは ネットワーク 公開サーバ 非公開サーバ 192.168.0.1 https://example.com として公開 GET https://example.com?target=http://192.168.0.1 任意のURLをパラメータとして受け付けて内容を取得するような

    Webアプリケーションの場合に 攻撃者がWebサーバ自身や非公開のサーバの情報を取得できてしまう脆弱性

  9. 任意のURLを受け付ける生PHP ※脆弱なコードです

  10. 任意のURLを受け付けるWebアプリなんかある? 実は結構ある • ChatGPTに任意のURLを渡して「このページを要約して」と依頼 • XやFacebookに任意のURLを渡してリンクカード(OGP)を表示

  11. どうすればいいの?

  12. SSRF対策 • 可能であれば、任意のURLを受け付ける仕様をやめる • URLをホワイトリストで管理して検証する、IDとURLのテーブルを作ってIDを受け取 るようにするなど

  13. URLをホワイトリストで制限

  14. とはいえ仕様がそれを許さない場合もある • 任意のURLを受け付けないと機能要件が満たせない場合、決定版な対策はない • ネットワーク分離 +、形式の検証、WAF、生のレスポンスをそのままクライアントに返さない など組み合わせて対策する • ブラックリスト方式はダメ、簡単に迂回される https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/

  15. 参考 • https://owasp.org/Top10/ja/ • https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SS RF%29/ • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forg ery.html •

    https://zenn.dev/chot/articles/88ea57e3108978 • https://www.docswell.com/s/wild0ni0n/5DENY9-2023-05-08-115632

  16. Thank you