第一回社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)

1. 第一回社内勉強会 Security Checklist に学ぶ PHP セキュリティ Yuya Takeyama 2010/05/21 (Fri)

2. 本日の目的 Webにおけるセキュリティの基本を再確認「知ってて当然」とされる事柄はあまりに多い。共通の語彙を身につければ、コミュニケーションコストも下がる。

3. PHP におけるセキュリティの難所を知る PHP に特化した、より実践的な話。教材として PHP Application Security Checklist を使用。

4. 自社サービスにおける問題点の共有

5. このあと、そのための時間をとる予定。

6. この機会にぶっちゃけましょう。

7. アジェンダ Web におけるセキュリティのおさらい・クロスサイトスクリプティング

8. ・ SQL インジェクション

9. PHP のセキュリティ

10. ・本当はおそろしい php.ini ・ 5c 問題の無間地獄

11. Cross Site Scripting Cross Site Scripting Cross Site Scripting Cross Site Scripting

12. 略して

13. CSS

14. ・・・だと Cascading Style Sheet と混同するので

15. XSS 一般的にはと呼ばれています (DVD のプロテクト技術にも CSS ってのがありましたが・・・ )

16. 簡単に言うと

17. サイトを越えて悪意のあるコードを実行すること

18. Input from $_GET, $_POST, $_COOKIE and $_REQUEST is considered tainted.

19. 直訳

20. $_GET 、 $_POST 、 $_COOKIE 、そして $_REQUEST からの入力は汚染を考慮されているか。

21. Understood that only some values in $_SERVER and $_ENV are untainted.

22. 直訳

23. 汚染されていないのは $_SERVER と $_ENV のいくつかの値だけであることを理解しているか。

24. つまり

25. 入力の汚染を常に疑うこと

26. 出力は常にエスケープすること

27. SQL Injection

28. 例

29. MySQL によるユーザー認証

30. SELECT * FROM users WHERE user = ' yuya ' AND pass = ' doom ' 色がついているのは、ユーザーのフォームへの入力による値

31. パスワードが一致しないとレコードが引けない (= ログインできない ) はずだけど・・・

32. SELECT * FROM users WHERE user = ' yuya' OR 1 # ' AND pass = ' doom '

33. もっと酷いケース

34. SELECT * FROM users WHERE user = ' ';TRUNCATE users # ' AND pass = ' doom '

35. ただし

36. PHP の mysql_query 関数は ;( セミコロン ) 区切りによる複数のクエリの同時送信はできない。

37. さておき

38. どうしたら SQL インジェクションから自由になれるか

39. 入力の汚染を常に疑うこと

40. 出力は常にエスケープすること

41. SELECT * FROM users WHERE user = ' yuya \ ' OR 1 # ' AND pass = ' doom ' SQL 文のエスケープをしてあげる ※ SQL 文は PHP アプリケーションから見れば出力ですね

42. Web におけるセキュリティのまとめ入力の汚染を常に疑う

43. 出力を常にエスケープする

44. これを守るだけで、その他の脅威

45. 　・ディレクトリトラバーサル

46. 　・クロスサイトリクエストフォージェリ (CSRF)

47. 　・コマンドラインジェクション等

48. も防ぐことができます。

49. 本当はおそろしい php.ini

50. ここで再び PHP Application Security Checklist

51. register_globals is disabled.

52. 直訳

53. register_globals は無効化されているか

54. http://example.net/?debug=on にアクセスすると ” on” という値を持った変数 $debug が勝手にできてしまう

55. 現在はデフォルトで Off になっているのでとりあえず安心

56. php.ini にはこういう地雷がいっぱいしかも On だったりするから困る

57. addslashes() はマルチバイトを扱えないから使用禁止！

58. magic_quotes_gpc も On にするの禁止！

59. addslashes() is not used.

60. Magic quotes is disabled.

61. PHP Application Security Checklist さんもそう言ってるので！

62. magic_quotes_gpc の問題点エスケープされたもの、されてないものが混在するため、余計煩雑。ありがた迷惑。

63. そもそも addslashes() がイケてない ( 日本になんて生まれるんじゃなかった )

64. マルチバイト文字を抜きにしても、 addslashes() ではエスケープできない DB もある。 (SQLite とか )

65. PHP6 では削除予定

66. 5c 問題の無間地獄

67. addslashes() じゃない SQL のエスケープについて考えてみる

68. mysql_real_escape_string()

69. これで安心？

70. 否

71. mysql_client_encoding() すると latin1 とか・・・

72. SET NAMES すればいいのでは？

73. 否

74. SET NAMES しても mysql_client_encoding() は変わりません。

75. mysql_set_charset() しましょうとりあえずこれでうまくいく模様 ( 要検証 )

76. ただし

77. mysql_set_charset() は PHP 5.23 以降のみあとは my.cnf とか触らないといけなくなる・・・

78. プリペアドステートンメント

79. $sql = "INSERT INTO artists (id, name) VALUES ( ? , ? )"; $stmt = $db->prepare($sql); $data = array( 1 , ' 野坂昭如 '); $db->execute($stmt, $data); ↑ こーいうの

80. これで安心？

81. 否

82. PHP スクリプトでエミュレートしているだけだと、結局同じことが起りうる

83. とりあえず Pear はダメっぽい

84. DBMS 側が提供している API を利用するライブラリなら安心？

85. PHP における Shitft_JIS の扱いの難しさ magic_quotes_gpc, addslashes() は禁止

86. SET NAMES も禁止。 mysql_set_charset() しましょう

87. プリペアドステートメントは、実装次第有名ライブラリでも疑り深くテスト

88. mbstring.internal_encoding は UTF-8 にするのが無難

89. 参考文献『 PHP Application Security Checklist 』 http://www.sk89q.com/content/2010/04/phpsec_cheatsheet.pdf Chris Shiflett 『入門 PHP セキュリティ』

第一回社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)

More Related Content

What's hot (6)

Similar to 第一回社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt) (20)

More from Yuya Takeyama (16)