Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webアプリケーションのユーザ入力検証

Avatar for Ryusei Ishikawa Ryusei Ishikawa
September 03, 2023
Technology
3
1.2k

 Webアプリケーションのユーザ入力検証

ここで話しました
https://connpass.com/event/290912/
Avatar for Ryusei Ishikawa

Ryusei Ishikawa

September 03, 2023
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
140
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
630
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
63
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
2.7k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
700
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Avatar for Ryusei Ishikawa xryuseix
0
1.3k

Other Decks in Technology

See All in Technology
GitHub Copilot Use Cases at ZOZO
Avatar for Ryosuke Horie horie1024
1
350
プロジェクトマネージャーに最後まで残るたった一つの仕事は交渉
Avatar for nakamichi ichimichi
1
180
Information Architecture Recommoning: How Standardization Enables Differentiation
Avatar for Andrea Gioia angioia
0
170
Grafana MCP serverでなんかし隊 / Try Grafana MCP server
Avatar for kohbis kohbis
0
220
kintone開発組織のDevOpsへの移り変わりと実践
Avatar for Shin'ya Ueoka ueokande
1
280
バクラクのモノレポにおける AI Coding のための環境整備と {Roo,Claude} Code活用事例 / AI Coding in Bakuraku's Monorepo: Environment Setup & Case Studies with {Roo, Claude} Code
Avatar for upamune / Yu SERIZAWA upamune
7
2.8k
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/03 - 2025/05
Avatar for oracle4engineer oracle4engineer
PRO
1
130
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
6.7k
AIコーディング新時代を生き残るための試行錯誤 / AI Coding Survival Guide
Avatar for Tomohisa Takaoka tomohisa
7
6.9k
AI Engineering Summit Pre Event LT #10
Avatar for Kaoru okaru
2
360
医療業界に特化した音声認識モデル構築のためのアノテーションの実態
Avatar for Kanta Suga thickstem
0
500
TypeScript をより型安全に扱うプラクティス #TSKaigi #TSKaigi2025_kataritai
Avatar for 弁護士ドットコム bengo4com
0
2.1k

Featured

See All Featured
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
228
22k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
770
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
50k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
42
7.5k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k

Transcript

  1. Webアプリケーションの ユーザ入力検証 xryuseix (@ryusei_ishika)

  2. 講演内で使用するソースコードについて https://github.com/SECCON/2023_beginnerslive これ 1. GitHubリポジトリへアクセスしてください 2. xryuseixフォルダの中のREADMEを読んでください 2

  3. 自己紹介 ID: xryuseix (Twitter: @ryusei_ishika) Webセキュリティと開発が好きです。 ctf4b 2023では以下の問題を提供しました。 • shaXXX

    • drmsaw • phisher2 3

  4. ユーザの入力をちゃんとチェックしてますか? これってstring? number? https://expressjs.com/ja/starter/hello-world.html 4

  5. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch この中身って保証されてる? 5

  6. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch undefinedにならない?大丈夫? 6

  7. Q1. if文書けば解決するのでは? A. プロパティの数が少なければそれで良いが、多い場合は大変 想定していないプロパティが含まれていないかチェックする 必要もある 7

  8. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか?? 8

  9. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか??(2) プロパティが多かったり入れ子になってたりしたら 実装がかなり増えてキツくないですか? 9

  10. Q3. いやでもさ...... 󰬣「これって実行時エラーが出るだけで、 脆弱性にならんのとちゃうんか??」 😎「クックックッ......」 ※僕は大阪弁喋れません 10

  11. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 ここをユーザが自由に書き換えられる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/chall.js 問題サーバ: https://x-beginnerslive2023.deno.dev 11

  12. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • フラグはflagsオブジェクトにある • buyFlag関数でフラグが買える場合は 買ってretuenしている • 買えるフラグはuserとadminで異なる。

    userの場合はフラグが偽物で、admin の場合はフラグが高額 12

  13. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • サーバはDeno.serveで実装されてお り、ユーザの入力はクエリパラメータで 受け取れる (今回Denoを使っていることに深い意 味はありません) •

    ユーザの入力はmain関数に送られ、 JSONをパースした後にroleが指定さ れているか確認する • その後、buyFlag関数にユーザ情報と ロール情報が送られる 13

  14. 今回使用するサンプル問題 ⚠次のスライドで答えを言及します 見たくない場合は1分くらい下の猿のモノマネしててください。 答えはレポジトリ内にも書かれています。 14

  15. 今回使用するサンプル問題(解説) こんな感じのJSONを送れば良いです。 buyFlag関数の呼び出しの箇所で、スプレッド構文を使っているため、 userオブジェクトの中身を書き 換えられます。 15

  16. prototype pollution 脆弱性を埋め込むパターンは他にも... https://www.youtube.com/watch?v=LUsiFV3dsK8&t=67s のコードを一部改変 16

  17. Zodという選択肢もある https://zod.dev/?id=basic-usage Zodは静的型推論による TypeScript ファーストのスキーマ検証ツールです。 文字列、数字、オブジェクトなどが特定のスキーマ (≒型※1 )に一致しているか確認することができます。 → ユーザの入力を検証することができる!

    文字列のスキーマ “tuna”は文字列なのでOK 12は文字列ではないのでエラー ※1 正確には違うが、そう考えた方がわかりやすいかもしれない 17

  18. Zodという選択肢もある https://zod.dev/ 18

  19. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 19

  20. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 前述の通り、単純にTypeScriptにした からといって修正できるとは限りません 20

  21. Zodを使って書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/fixed.ts Zodスキーマを定義 検証 21

  22. EmailやUrl、IPなど、 いろんな文字列に対して検証できる Zodなら様々な検証ができる 22

  23. • ユーザの入力を検証する事は 安全なアプリケーション開発において重要 • TypeScriptを使ったからといって ユーザの入力内容は保証できない • 入力を検証する方法の1つの手段として、 Zodというものがある まとめ

    思わぬ入力が与えられて ゾッと しないように、気をつけてコードを書こう! 23