Upgrade to Pro — share decks privately, control downloads, hide ads and more …

生PHPで学ぶSSRF.pdf

Avatar for dyoshikawa dyoshikawa
October 08, 2024
0
130

 生PHPで学ぶSSRF.pdf

Avatar for dyoshikawa

dyoshikawa

October 08, 2024
Tweet

More Decks by dyoshikawa

See All by dyoshikawa
エンジニア向けコミュニティZennの開発チームを支える自動化の仕組み.pdf
Avatar for dyoshikawa dyoshikawa1993
0
2.2k
Zennへのスパム投稿が急増したのでLLMでなんとかした話
Avatar for dyoshikawa dyoshikawa1993
0
1.1k
Google Cloud Vertex AIにおけるGemini vs Claude
Avatar for dyoshikawa dyoshikawa1993
0
170
OSSコミットしてZennの課題を解決した話
Avatar for dyoshikawa dyoshikawa1993
0
470

Featured

See All Featured
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.4k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
57
9.4k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
277
23k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.3k

Transcript

  1. 生PHPで学ぶSSRF 10/19(土) PHP勉強会in広島 vol.1 LT枠 @dyoshikawa

  2. 簡単に自己紹介 • https://x.com/dyoshikawa1993 • 広島住みソフトウェアエンジニア • Next.js / Ruby on

    Rails など • 応用情報技術者 / AWS Security Specialtyなど

  3. 留意事項 • 発表者もセキュリティ勉強中の身です(予防線) • コードは例示のために簡略化されているため、そのまま本番利用はしないでくださ い • 誤りがあればご指摘ください

  4. SSRF知ってますか?

  5. https://owasp.org/Top10/ja/ OWASP Top 10に入っている

  6. 私のSSRFとの出会い • 今年(2024年)春に応用情報技術者試験合格 • 秋に情報処理安全確保支援士試験を申し込み • SSRF(サーバーサイドリクエストフォージェリ)を知る • CSRF(クロスサイトリクエストフォージェリ)は聞いたことあるけど、SSRFって何 ・・・?

  7. SSRFとは

  8. SSRFとは ネットワーク 公開サーバ 非公開サーバ 192.168.0.1 https://example.com として公開 GET https://example.com?target=http://192.168.0.1 任意のURLをパラメータとして受け付けて内容を取得するような

    Webアプリケーションの場合に 攻撃者がWebサーバ自身や非公開のサーバの情報を取得できてしまう脆弱性

  9. 任意のURLを受け付ける生PHP ※脆弱なコードです

  10. 任意のURLを受け付けるWebアプリなんかある? 実は結構ある • ChatGPTに任意のURLを渡して「このページを要約して」と依頼 • XやFacebookに任意のURLを渡してリンクカード(OGP)を表示

  11. どうすればいいの?

  12. SSRF対策 • 可能であれば、任意のURLを受け付ける仕様をやめる • URLをホワイトリストで管理して検証する、IDとURLのテーブルを作ってIDを受け取 るようにするなど

  13. URLをホワイトリストで制限

  14. とはいえ仕様がそれを許さない場合もある • 任意のURLを受け付けないと機能要件が満たせない場合、決定版な対策はない • ネットワーク分離 +、形式の検証、WAF、生のレスポンスをそのままクライアントに返さない など組み合わせて対策する • ブラックリスト方式はダメ、簡単に迂回される https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/

  15. 参考 • https://owasp.org/Top10/ja/ • https://owasp.org/Top10/ja/A10_2021-Server-Side_Request_Forgery_%28SS RF%29/ • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forg ery.html •

    https://zenn.dev/chot/articles/88ea57e3108978 • https://www.docswell.com/s/wild0ni0n/5DENY9-2023-05-08-115632

  16. Thank you