Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「フレームワークを使っていれば脆弱性は出ない」って本当? / Is it true that Framework guards us from all vulnerability?

thatblue
March 16, 2019
Technology
0
64

「フレームワークを使っていれば脆弱性は出ない」って本当? / Is it true that Framework guards us from all vulnerability?

BSides Sendai 2019発表資料

thatblue

March 16, 2019
Tweet

More Decks by thatblue

See All by thatblue
Sendai.rbコミュニティ紹介 2022 / Introduction of Sendai.rb 2022
thatblue
0
3
Rails Girls Sendaiコミュニティ紹介2022 / Introduction of Rails Girls Sendai 2022
thatblue
0
10
競技プログラミングへのお誘い~私と競プロ友達になってください / Invitation to Competition Programming
thatblue
1
170
好みのコーヒー探し / find my favorite coffee
thatblue
0
210
Rails Girls Sendai 2ndの後日談としてのSendai.rb / Sendai.rb, As a After Story of Rails Girls Sendai 2nd
thatblue
0
4
Sendai.rbコミュニティ紹介2020 / Introduction of Sendai.rb 2020
thatblue
0
0
Rails Girls Sendaiコミュニティ紹介2020 / Introduction of Rails Girls Sendai 2020
thatblue
0
2
ようやくDDDに手を出したので感想でも / I've getting started to DDD
thatblue
1
260
数えるのが大変だったのでWebスクレイピングで頑張ってみた話 / How many countries held Rails Girls workshops? - count up with web scraping and Web API
thatblue
0
2

Other Decks in Technology

See All in Technology
KEDAで始めるイベント駆動システム #k8snovice / keda-tutorial
chmikata
1
130
Head toward Java 20 and Java 21
line_developers
PRO
0
320
【Oracle Cloud ウェビナー】Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (2023年5月24日)
oracle4engineer
PRO
1
120
AI完全初心者でも最新の生成AIの仕組がわかった気になれるプレゼン
shimap_sampo
5
1.7k
KEDAによるイベント駆動ジョブスケール / Event-driven job scale by KEDA
kohbis
2
160
今後の開発規模拡大、QA人材を爆速で立ち上げる
ymty
1
1k
IaCのCI/CDを考えよう / JAWS-UG_Okayama_IaC_CICD
taishin
1
170
net/http/httptest.Server のアプローチをテスト戦略に活用する / Go Conference 2023
k1low
7
990
Антихрупкость в IT или как полюбить изменения
alexanderbyndyu
0
400
GO TechTalk #19 タクシーアプリ『GO』事業成長を支えるデータ分析基盤の継続的改善!
mot_techtalk
2
830
Virtual Threads - 導入の背景と、効果的な使い方 -
skrb
2
280
C# の async/await は実際にどうやって動いているか
nenonaninu
4
11k

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
350
28k
Unsuck your backbone
ammeep
660
56k
YesSQL, Process and Tooling at Scale
rocio
158
13k
What's in a price? How to price your products and services
michaelherold
234
10k
The Web Native Designer (August 2011)
paulrobertlloyd
78
2.3k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
Reflections from 52 weeks, 52 projects
jeffersonlam
341
18k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
16
5.8k
Being A Developer After 40
akosma
50
580k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
239
19k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
8.4k
Build your cross-platform service in a week with App Engine
jlugia
222
17k

Transcript

  1. 「フレームワークを使っていれば
    脆弱性は出ない」って本当?
    そのレール、本当に乗ってますか
    #BSidesSendai
    BSides Sendai 2019
    今野夕貴(@thatblue_plus)

    View Slide

  2. とりあえず自己紹介
    だいたい仙台出身、ほぼ仙台在住
    学生時代を過ごした会津若松は
    第二の故郷
    新卒から10年くらい、ソフトウェ
    アエンジニア的なお仕事をしてい
    ます
    PHPやJavaを中心に、サーバサイ
    ドとかWebアプリケーションと呼
    ばれるあたりの分野をやっていま

    ガルパン大好きなんですが近くにあ
    んまり語り合える人がいないのでお
    友達になってください

    View Slide

  3. こんな人に知ってほしい
    業務での開発が未経験だけど、何か自分でWeb
    サービスの開発をしようとしている人
    「脆弱性ってよくわからないけど、フレームワー
    ク使ってたら大丈夫でしょ」って思っている初
    級エンジニア〜経験浅めのリードエンジニア
    もしくは上記のようなエンジニアを指導する
    立場の人へ、指針の参考として
    主にWebアプリケーション開発における、以下のような立
    場の人

    View Slide

  4. 「フレームワークを使っていれば
    脆弱性は出ない」って本当?
    今回は
    「フレームワーク=Webアプリケーションフレームワーク」
    としてご理解ください

    View Slide

  5. 半分は本当だけど
    半分は間違ってると思う

    View Slide

  6. どのような攻撃からどう守っているのかを知らなければ
    (セキュリティ的な)意味は半減します
    冨樫義博「幽☆遊☆白書 14巻」(集英社、1993年)

    View Slide

  7. 以上

    View Slide

  8. ……では登壇する意味が
    ないので

    View Slide

  9. フレームワークを使っていても
    脆弱性が入り込んでしまうポイント
    フレームワークやライブラリの選定ミス
    設定ミス
    フレームワークの思想を無視した実装
    フレームワークではどうしようもないところ
    のカバー漏れ

    View Slide

  10. フレームワークや
    ライブラリの選定ミス

    View Slide

  11. どうやって選ぶか
    RubyにおけるRailsのような、言語における「鉄板」があるなら従う
    使用者数が少ないフレームワークは自信を持って選べるようになっ
    てからで十分
    Google検索などで評判を調べてみる
    少なくとも開発コミュニティが活発であること
    GitHubのstar数
    中心になって開発している人がどんな人なのか
    一万歩譲ってもセキュリティ対応期間中のもの、可能な限りリリース
    済みの新しいバージョンを使う

    View Slide

  12. 評判の信ぴょう性を判断するには
    結局自分が知識を持つしかない

    View Slide

  13. とは言え、フレームワーク名で検索してサジェスト
    上位に「脆弱性」って出てくるものは避けましょう
    フレームワークの名誉のため、モザイク処理済

    View Slide

  14. 設定ミス

    View Slide

  15. デフォルト設定が安全側に倒れていないケース
    設定変更のリスク判断が十分に出来ていないケー

    設定の組み合わせによって問題が起きるケー

    View Slide

  16. デフォルト設定が
    安全側に倒れていないケース
    例: FuelPHP(1.8のmasterで確認)のデフォル
    ト設定ではCSRFトークンのチェックをしてお
    らず、オプション機能扱いになっている
    放っておいた場合何が起こるかは「はまち
    ちゃん事件」で検索
    このときは勝手に日記を投稿されるだけで
    済んだから良かった(!?)ものの、勝手に商品
    を購入させるようなことになってたら……

    View Slide

  17. 設定変更のリスク判断が
    十分にできていないケース
    DBなどに登録したHTMLをそのまま書き出した
    い、という要件
    書き出す箇所だけエスケープを外すべきと
    ころ、全体のエスケープ設定を外してしま

    View Slide

  18. フレームワークの思想を
    無視した実装

    View Slide

  19. 安全に実装する方法が分からない
    「自分がやりたいことはフレームワークでサ
    ポートされていない」と思い込み、フレーム
    ワークを使わない実装を始めてしまう

    View Slide

  20. 安全に実装する方法が
    分からない
    是非が判断できないため、Google検索で見つ
    けた問題のある実装方法でそのまま済ませてし
    まう
    そもそも公式ドキュメントを読まない
    読み慣れないと望む情報にたどり着くのが
    大変なのはとてもよくわかる、が、読もう!

    View Slide

  21. 「やりたいことがフレームワーク
    でサポートされていない」という
    思い込み
    経験の浅いエンジニアにありがち
    フォームデータの多次元配列データに対応していないと思い
    込み(というかそもそもそういう概念を知らず)、自前でPOST
    パラメータを読み出す処理を作り込んでしまった
    フレームワークのバリデーション機能でフォローできな
    くなるので、入力の検証が地獄になる
    参考元のコードに求めているパターンの実装がなく、上長に
    相談しても「もっとよく見て」と適当にあしらわれる(血涙)
    というわけで先輩方はどうかサポートしてあげてください

    View Slide

  22. ここまでは、
    ちゃんと「レールに乗って」いれば
    回避できる話

    View Slide

  23. フレームワークでは
    どうしようもないところの
    カバー漏れ

    View Slide

  24. アクセスログを取ろうとして、リクエストパ
    ラメータに含まれていた平文のパスワードも
    そのままログに書き出してしまう
    独自のバリデーションルールを作ろうとして、
    正規表現をミスする
    そして問題のある入力を受け付けてしまう

    View Slide

  25. 余談:パスワードを平文で
    保存してはいけない理由?

    View Slide

  26. フレームワークなしでもそこそこセキュアに
    組めるくらいの理解はないと正直厳しいと思っている
    結局ここに戻ってくる
    冨樫義博「幽☆遊☆白書 14巻」(集英社、1993年)

    View Slide

  27. 最低リードエンジニアくらいは、
    とは思うのですが

    View Slide

  28. できれば、みんなで勉強して頑張ろう
    把握してるごく少人数で全部カバーとか死んじゃいます

    View Slide

  29. みんな読もう、徳丸本
    正式なタイトルは「体系的に学ぶ 安全なWebアプリケーションの作り方」
    第二版がおすすめ

    View Slide

  30. 正しくレールに乗って
    ご安全に!

    View Slide