Upgrade to Pro — share decks privately, control downloads, hide ads and more …

生PHPで学ぶSSRF.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for dyoshikawa dyoshikawa
October 08, 2024
170
0

 生PHPで学ぶSSRF.pdf

Avatar for dyoshikawa

dyoshikawa

October 08, 2024

More Decks by dyoshikawa

See All by dyoshikawa
エンジニア向けコミュニティZennの開発チームを支える自動化の仕組み.pdf
Avatar for dyoshikawa dyoshikawa1993
0
2.5k
Zennへのスパム投稿が急増したのでLLMでなんとかした話
Avatar for dyoshikawa dyoshikawa1993
0
1.3k
Google Cloud Vertex AIにおけるGemini vs Claude
Avatar for dyoshikawa dyoshikawa1993
0
220
OSSコミットしてZennの課題を解決した話
Avatar for dyoshikawa dyoshikawa1993
0
620

Featured

See All Featured
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
460
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
170
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
190
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
150
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.1k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
61
43k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k

Transcript

  1. 生PHPで学ぶSSRF 10/19(土) PHP勉強会in広島 vol.1 LT枠 @dyoshikawa

  2. 簡単に自己紹介 • https://x.com/dyoshikawa1993 • 広島住みソフトウェアエンジニア • Next.js / Ruby on

    Rails など • 応用情報技術者 / AWS Security Specialtyなど

  3. 留意事項 • 発表者もセキュリティ勉強中の身です(予防線) • コードは例示のために簡略化されているため、そのまま本番利用はしないでくださ い • 誤りがあればご指摘ください

  4. SSRF知ってますか?

  5. https://owasp.org/Top10/ja/ OWASP Top 10に入っている

  6. 私のSSRFとの出会い • 今年(2024年)春に応用情報技術者試験合格 • 秋に情報処理安全確保支援士試験を申し込み • SSRF(サーバーサイドリクエストフォージェリ)を知る • CSRF(クロスサイトリクエストフォージェリ)は聞いたことあるけど、SSRFって何 ・・・?

  7. SSRFとは

  8. SSRFとは ネットワーク 公開サーバ 非公開サーバ 192.168.0.1 https://example.com として公開 GET https://example.com?target=http://192.168.0.1 任意のURLをパラメータとして受け付けて内容を取得するような

    Webアプリケーションの場合に 攻撃者がWebサーバ自身や非公開のサーバの情報を取得できてしまう脆弱性

  9. 任意のURLを受け付ける生PHP ※脆弱なコードです

  10. 任意のURLを受け付けるWebアプリなんかある? 実は結構ある • ChatGPTに任意のURLを渡して「このページを要約して」と依頼 • XやFacebookに任意のURLを渡してリンクカード(OGP)を表示

  11. どうすればいいの?

  12. SSRF対策 • 可能であれば、任意のURLを受け付ける仕様をやめる • URLをホワイトリストで管理して検証する、IDとURLのテーブルを作ってIDを受け取 るようにするなど

  13. URLをホワイトリストで制限

  14. とはいえ仕様がそれを許さない場合もある • 任意のURLを受け付けないと機能要件が満たせない場合、決定版な対策はない • ネットワーク分離 +、形式の検証、WAF、生のレスポンスをそのままクライアントに返さない など組み合わせて対策する • ブラックリスト方式はダメ、簡単に迂回される https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/

  15. 参考 • https://owasp.org/Top10/ja/ • https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SS RF%29/ • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forg ery.html •

    https://zenn.dev/chot/articles/88ea57e3108978 • https://www.docswell.com/s/wild0ni0n/5DENY9-2023-05-08-115632

  16. Thank you