Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webアプリケーションのユーザ入力検証

Avatar for Ryusei Ishikawa Ryusei Ishikawa
September 03, 2023
Technology
3
1.2k

 Webアプリケーションのユーザ入力検証

ここで話しました
https://connpass.com/event/290912/
Avatar for Ryusei Ishikawa

Ryusei Ishikawa

September 03, 2023
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
140
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
640
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
65
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
2.7k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
700
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Avatar for Ryusei Ishikawa xryuseix
0
1.3k

Other Decks in Technology

See All in Technology
本部長の代わりに提案書レビュー! KDDI営業が毎日使うAIエージェント「A-BOSS」開発秘話
Avatar for みのるん minorun365
PRO
14
1.7k
Copilot Agentを普段使いしてわかった、バックエンド開発で使えるTips
Avatar for ykagano ykagano
1
930
Workflows から Agents へ ~ 生成 AI アプリの成長過程とアプローチ~
Avatar for Belong inc. belongadmin
3
150
Model Mondays S2E01: Advanced Reasoning
Avatar for Nitya Narasimhan, PhD nitya
0
330
QAはソフトウェアエンジニアリングを学んで実践するのが大事なの
Avatar for ymty ymty
1
380
RubyOnRailsOnDevin+α / DevinMeetupJapan#2
Avatar for ginkouno ginkouno
0
350
生成AIをテストプロセスに活用し"よう"としている話 #jasstnano
Avatar for Makky makky_tyuyan
0
150
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
6.4k
AIエージェントの継続的改善のためオブザーバビリティ
Avatar for PharmaX(旧YOJO Technologies)開発チーム pharma_x_tech
6
1.1k
Data Hubグループ 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
1.8k
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
2.6k
New Cache Hierarchy for Container Images and OCI Artifacts in Kubernetes Clusters using Containerd / KubeCon + CloudNativeCon Japan
Avatar for Preferred Networks pfn
PRO
0
150

Featured

See All Featured
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
329
24k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
16
920
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
46
14k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
123
52k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.9k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.7k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
32
5.9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k

Transcript

  1. Webアプリケーションの ユーザ入力検証 xryuseix (@ryusei_ishika)

  2. 講演内で使用するソースコードについて https://github.com/SECCON/2023_beginnerslive これ 1. GitHubリポジトリへアクセスしてください 2. xryuseixフォルダの中のREADMEを読んでください 2

  3. 自己紹介 ID: xryuseix (Twitter: @ryusei_ishika) Webセキュリティと開発が好きです。 ctf4b 2023では以下の問題を提供しました。 • shaXXX

    • drmsaw • phisher2 3

  4. ユーザの入力をちゃんとチェックしてますか? これってstring? number? https://expressjs.com/ja/starter/hello-world.html 4

  5. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch この中身って保証されてる? 5

  6. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch undefinedにならない?大丈夫? 6

  7. Q1. if文書けば解決するのでは? A. プロパティの数が少なければそれで良いが、多い場合は大変 想定していないプロパティが含まれていないかチェックする 必要もある 7

  8. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか?? 8

  9. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか??(2) プロパティが多かったり入れ子になってたりしたら 実装がかなり増えてキツくないですか? 9

  10. Q3. いやでもさ...... 󰬣「これって実行時エラーが出るだけで、 脆弱性にならんのとちゃうんか??」 😎「クックックッ......」 ※僕は大阪弁喋れません 10

  11. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 ここをユーザが自由に書き換えられる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/chall.js 問題サーバ: https://x-beginnerslive2023.deno.dev 11

  12. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • フラグはflagsオブジェクトにある • buyFlag関数でフラグが買える場合は 買ってretuenしている • 買えるフラグはuserとadminで異なる。

    userの場合はフラグが偽物で、admin の場合はフラグが高額 12

  13. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • サーバはDeno.serveで実装されてお り、ユーザの入力はクエリパラメータで 受け取れる (今回Denoを使っていることに深い意 味はありません) •

    ユーザの入力はmain関数に送られ、 JSONをパースした後にroleが指定さ れているか確認する • その後、buyFlag関数にユーザ情報と ロール情報が送られる 13

  14. 今回使用するサンプル問題 ⚠次のスライドで答えを言及します 見たくない場合は1分くらい下の猿のモノマネしててください。 答えはレポジトリ内にも書かれています。 14

  15. 今回使用するサンプル問題(解説) こんな感じのJSONを送れば良いです。 buyFlag関数の呼び出しの箇所で、スプレッド構文を使っているため、 userオブジェクトの中身を書き 換えられます。 15

  16. prototype pollution 脆弱性を埋め込むパターンは他にも... https://www.youtube.com/watch?v=LUsiFV3dsK8&t=67s のコードを一部改変 16

  17. Zodという選択肢もある https://zod.dev/?id=basic-usage Zodは静的型推論による TypeScript ファーストのスキーマ検証ツールです。 文字列、数字、オブジェクトなどが特定のスキーマ (≒型※1 )に一致しているか確認することができます。 → ユーザの入力を検証することができる!

    文字列のスキーマ “tuna”は文字列なのでOK 12は文字列ではないのでエラー ※1 正確には違うが、そう考えた方がわかりやすいかもしれない 17

  18. Zodという選択肢もある https://zod.dev/ 18

  19. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 19

  20. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 前述の通り、単純にTypeScriptにした からといって修正できるとは限りません 20

  21. Zodを使って書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/fixed.ts Zodスキーマを定義 検証 21

  22. EmailやUrl、IPなど、 いろんな文字列に対して検証できる Zodなら様々な検証ができる 22

  23. • ユーザの入力を検証する事は 安全なアプリケーション開発において重要 • TypeScriptを使ったからといって ユーザの入力内容は保証できない • 入力を検証する方法の1つの手段として、 Zodというものがある まとめ

    思わぬ入力が与えられて ゾッと しないように、気をつけてコードを書こう! 23