Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「攻め」と「守り」で理解する PHP アプリケーション

Avatar for GMO Flatt Security GMO Flatt Security
June 27, 2025
1
88

「攻め」と「守り」で理解する PHP アプリケーション

Avatar for GMO Flatt Security

GMO Flatt Security

June 27, 2025
Tweet

More Decks by GMO Flatt Security

See All by GMO Flatt Security
セキュリティ視点からみる生成AIアプリケーションとMCP ~ 脅威とリスク、認可・権限 ~
Avatar for GMO Flatt Security flatt_security
4
2.2k
脅威をモデリングしてMCPのセキュリティ対策を考えよう
Avatar for GMO Flatt Security flatt_security
5
1.9k
利用者目線で考える、MCPを安全に使うために
Avatar for GMO Flatt Security flatt_security
5
1.8k
アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点
Avatar for GMO Flatt Security flatt_security
41
20k
開発組織のための セキュアコーディング研修の始め方
Avatar for GMO Flatt Security flatt_security
5
3.9k
GMO Flatt SecurityにおけるKubernetesセキュリティ診断について
Avatar for GMO Flatt Security flatt_security
0
220
Flatt Security XSS Challenge 解答・解説
Avatar for GMO Flatt Security flatt_security
0
2.1k
GMO Flatt Security 会社紹介資料
Avatar for GMO Flatt Security flatt_security
0
14k
codeblue_2024_opentalks.pdf
Avatar for GMO Flatt Security flatt_security
0
130

Featured

See All Featured
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
245
12k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
790
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.4k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.8k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
228
22k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k

Transcript

  1. 「攻め」と「守り」で理解する PHP アプリケーション 2025/06/28 - PHP Conference Japan 2025 GMO

    Flatt Security株式会社 てぃー / k1rnt

  2. 自己紹介 てぃー @k1rnt & GMO Flatt Security(株) セキュリティエンジニ) & 週末はCTFしたり旅をした

    & 最近は逆流性食道炎がつらいです

  3. AIからのPR おっと急にAIからPRが → 見てみましょう

  4. AIからのPR どうやら、bタグとiタグだけ許可したいPRのようですね さて、このままマージして良いでしょうか?

  5. AIからのPR

  6. AIからのPR このコードには脆弱性が存在します。 一見エスケープしているので安全のように見えますが、 preg_replaceを使用してb, iタグを復元します

  7. AIからのPR <b onclick=alert(‘ ’)>click</b>

  8. AIからのPR

  9. AIからのPR これまで、多くの脆弱性はフレームワークにより防がれてきた しかし、現代ではAIが大量に吐くコードに混入する 脆弱性をレビュー時に見過ごす危険性が生まれている 「脆弱性を生まない書き方」だけではなく 検出するということの重要性が増してきた

  10. AIからのPR 実際なんも考えなかったらXSS出してきますし、、、 出典: 弊社ブログ( ) https://blog.flatt.tech/entry/ai_code_security

  11. AIからのPR また、XSSってそんな中で残り続けた脆弱性でもあるんですよね 出典: 弊社ブログ( ) https://blog.flatt.tech/entry/flatt_top10_2025

  12. AIからのPR 今回話すような内容をおさらいしつつ、 自分で書かないのはもちろん、 AIに書かせない/書いたら検出するのが重要ですよね。

  13. このセッションで持ち帰れるもの 攻撃者目線で診る PHPアプリケーションでの XSS発生パターンと対策ポイント

  14. アジェンダ P blade Template EngineにおけるXS9 P Unicode NormalizationによるXS9 P PHPのパラメータ上限によるCSP

    Bypas P おわりに

  15. blade Template EngineにおけるXSS bladeの と の違いの説明 {{ $var }} {!!

    $var !!}

  16. blade Template EngineにおけるXSS {{ $var }}

  17. blade Template EngineにおけるXSS https://readouble.com/laravel/12.x/ja/blade.html

  18. blade Template EngineにおけるXSS 実装してみましょう

  19. blade Template EngineにおけるXSS XSSは発生しないですね

  20. blade Template EngineにおけるXSS {!! $var !!}

  21. blade Template EngineにおけるXSS https://readouble.com/laravel/12.x/ja/blade.html

  22. blade Template EngineにおけるXSS 実装してみましょう

  23. blade Template EngineにおけるXSS ドキュメントにもある通りXSSが発生しました

  24. blade Template EngineにおけるXSS 対策方法 y {{ $var }} を使用すV y

    どうしても {!! $var !!} が必要な場合は、mewebstudio/ Purifier 
 などを使用して、適切にサニタイズを行8 p https://github.com/mewebstudio/Purifier

  25. blade Template EngineにおけるXSS ここまでは皆さんご存知だと思います でも、、、

  26. blade Template EngineにおけるXSS Laravelの {!! $var !!} の実装まで 読んだことはありますか?

  27. blade Template EngineにおけるXSS {!! $var !!}

  28. blade Template EngineにおけるXSS {!! で雑にgrepをかけると次のコードが見える

  29. blade Template EngineにおけるXSS 使用箇所は?

  30. blade Template EngineにおけるXSS {{ $var }}

  31. blade Template EngineにおけるXSS $wrappedでは、sprintf() でechoFormatを使っている

  32. blade Template EngineにおけるXSS $echoFormatはe(%s)、つまりエスケープしている!

  33. blade Template EngineにおけるXSS つまり安全!

  34. blade Template EngineにおけるXSS 本当に? e() の実装まで知ってる?

  35. blade Template EngineにおけるXSS ... 追います

  36. blade Template EngineにおけるXSS e()

  37. blade Template EngineにおけるXSS 実装を見つける

  38. blade Template EngineにおけるXSS よく見ると、安全ではないケースがあります

  39. blade Template EngineにおけるXSS instanceがHtmlableである時 エスケープ処理せずに返しています

  40. blade Template EngineにおけるXSS 事前にこのようにmarkdownをプレビューしたいみたいな場合は?

  41. blade Template EngineにおけるXSS まぁ {{ $content }} なのでXSSは発生しないよね...?

  42. blade Template EngineにおけるXSS XSS発生する

  43. blade Template EngineにおけるXSS つまり、{{ $var }} でエスケープを行い 、 かつ $var

    には Htmlable なインスタンスでないか確認すれば安全。

  44. blade Template EngineにおけるXSS 今回のようなケースでは、入力値のタグをエスケープしつつ、 javascript:, data:, といった危険なスキームを拒否することで 安全になる

  45. blade Template EngineにおけるXSS

  46. Unicode NormalizationによるXSS じゃあエスケープしていれば安全なんだね?

  47. Unicode NormalizationによるXSS 半分正解 エスケープ後の文字列に変なことしていなければね

  48. Unicode NormalizationによるXSS 変なことって?

  49. Unicode NormalizationによるXSS 例えばこんなコードはどうでしょうか

  50. Unicode NormalizationによるXSS WP HTMLエスケーT 7P アプリケーションの標準であるUTF-8に変I #P ASCIIに直す

  51. Unicode NormalizationによるXSS どういう時にこんなコードが書かれるの?

  52. Unicode NormalizationによるXSS 例えば、caféみたいに入力された文字列をcafeとして システムに登録したい場面があるかもしれない

  53. Unicode NormalizationによるXSS もちろんエスケープ済みなので、XSSも発生しない

  54. Unicode NormalizationによるXSS 大丈夫そうじゃない?

  55. Unicode NormalizationによるXSS ほんと? じゃあ (っ'-')╮«svg/onload%3Dalert(1)»

  56. Unicode NormalizationによるXSS どうしてこんなことに...?

  57. Unicode NormalizationによるXSS «svg/onload%3Dalert(1)» %C2%ABsvg/onload%3Dalert(1)%C2%BB

  58. Unicode NormalizationによるXSS %C2%AB と %C2%BB のそれぞれがASCIIに正規化されると、 << や >> となり、通常のタグと同等のものになる

  59. Unicode NormalizationによるXSS よって、 <<svg onload=alert(1)>> となりhtmlとして認識されXSSが発生する

  60. Unicode NormalizationによるXSS 出力の直前にエスケープをすることで安全に扱うことができる エスケープ後にその文字列の操作を行わないことが大事

  61. PHPのパラメータ上限によるCSP Bypass さて、ここまでの内容、AIが暴走した時に止められると思いますか? 結構しんどくないですか? CSPは有効な手段のひとつです

  62. PHPのパラメータ上限によるCSP Bypass https://developer.mozilla.org/ja/docs/Web/HTTP/Guides/CSP CSPとは?

  63. PHPのパラメータ上限によるCSP Bypass CSPとは? つまり、「このページでは信頼した場所のリソースだけ読み込め」 とブラウザに命令し、怪しいスクリプトや攻撃コードの実行を 防ぐ仕組みです

  64. PHPのパラメータ上限によるCSP Bypass 実装してみましょう

  65. PHPのパラメータ上限によるCSP Bypass この状態では、CSPがありエスケープせずともブラウザでエラーが出力 そして、XSSは発生しない

  66. PHPのパラメータ上限によるCSP Bypass ただし、、、 PHPではなんとCSPヘッダーの前に応答が送信され、 ヘッダーが無視されます場合があります...

  67. PHPのパラメータ上限によるCSP Bypass 今度はPHP本体のソースコードを確認します

  68. PHPのパラメータ上限によるCSP Bypass $_GET は max_input_varsより最大値が1000であることが分かります

  69. PHPのパラメータ上限によるCSP Bypass ここではソースは示しませんが同様に調査を行うと下記がわかります。 PHPでのデフォルトの最大パラメータg € $_GET: 1000 parametere € $_POST:

    1000 parametere € $_FILES: 20 files

  70. PHPのパラメータ上限によるCSP Bypass では、この最大数を超えるパラメータを送るとどうなるのか? Devtoolsにこのペイロードを投げる document.location = '/?xss=<svg/onload=alert(1)>&'+'a=x&'.repeat(1000)

  71. PHPのパラメータ上限によるCSP Bypass

  72. PHPのパラメータ上限によるCSP Bypass 対策方法は? 現状のPHPではこれが仕様 なので、CSPに頼り切らずエスケープをちゃんとしましょう

  73. おわりに いかがだったでしょうか? XSS対策って意外と見ることが多くて大変でしたね 最後におさらいとして、なにを書かせてはいけないのか見てみましょう

  74. おわりに 出力を行う前にエスケープを行う エスケープをどうしてもできない場合は、信頼できるライブラ リで適切にサニタイズを行う 出力の直前にエスケープを行い、エスケープ後にその文字列の 操作を行わない CSPを適切に設定する

  75. おわりに アプリケーションやパブリッククラウドのセキュリティは におまかせください プロフェッショナルによる 脆弱性診断・ペネトレーションテスト セキュリティコードレビューに 特化したAIエージェント Takumi セキュリティ診断AIエージェント