OWASP TOP-10：Webアプリケーションセキュリティの実用的な外観：No. 1-インジェクション

問題をよく理解していないプログラマーや初心者の開発者向けのWebアプリケーションのセキュリティに関するシリーズの別の記事を紹介できることを嬉しく思います。 この記事では、データフィルタリングの重要性と、インジェクションなどの非常に一般的で非常に危険なタイプの脆弱性について説明します。



すべてのシステム（複雑ではない）は、大量のデータとさまざまなオブジェクトを格納します。 たとえば、ユーザーアカウント、システムアカウント、トランザクション、トランザクションログエントリなどのビジネスロジックオブジェクト。



これらのオブジェクトにアクセスするために、それぞれのフォームは、何らかの形で独自の一意の識別子を持っています。 さらに、オブジェクトには任意のフィールドセットを含めることができます。 すべてのフィールドには、独自の一意の名前または識別子もあります。



これらだけでなく、これらすべてのオブジェクトは、各行が1つのオブジェクトであるテーブルに格納されます。



たとえば、Clientオブジェクトには、id、名、姓、電子メール、携帯電話のフィールドセットがあり、フォームのテーブルに保存できます。



クライアント表

id （識別子）	cl_name （名前）	cl_sur_name（姓）	電子メール	セル （モバイル）	その他 （など）
1	イワン	イワノフ	ivan @ mail	+70000000000	42

Webアプリケーションとのユーザーインタラクションの本質は、ブラウザーとサーバー間のリクエストの交換です。ブラウザーはさまざまなパラメーターをサーバーに送信し、サーバーから応答を受信します。



オブジェクトを受信または変更するには（たとえば、口座明細書を受信するか、プロファイルを更新するため）、サーバー上でこのページまたはそのページを要求する必要があります（以降、スクリプトと呼びます）。 この目的のためのWebアプリケーションは、フォームを使用するか、スクリプトURLを直接呼び出します。



ブラウザとサーバーの間でデータを交換するために、HTTPプロトコルが開発されました。 データは、いわゆるHTTPリクエストの形式で送信され、各リクエストはヘッダーとリクエスト本文で構成されます。



HTTPプロトコルを介してユーザーのブラウザーからサーバーにデータを転送するには、主にGETおよびPOSTの2つのメソッドが使用されます（PUTおよびDELETEメソッドもありますが、主にAPIで使用されます）。



GETメソッドを使用してデータを送信する場合、すべてのリクエストパラメータは、HTTPリクエストのヘッダー内のページURLに転送されます。次に例を示します。

http://simplethreats.ru/get_order?order=150
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

POSTメソッドを使用する場合、サーバーはHTTPリクエストの本文で既にデータを受信し、パラメーターはURLにリストされません。 したがって、たとえば、ほとんどのフォームが送信され、常に重要な認証データが常に送信されます（URLエントリとHTTPリクエストヘッダーは多くのログに残るため、URLへのデータ送信は安全ではありません）。



GETまたはPOST呼び出しは、オブジェクトがデータベース内のレコードであるか、ファイル（ディスクからの画像またはスクリプト）の読み取りであるかに関係なく、どのオブジェクトに対しても実行できます。 また、システムには多くのビジネスロジックのオブジェクトがあり、さまざまなタイプである可能性があるため、単純なWebアプリケーションであっても、1つのフレームワーク内で識別子による呼び出しが多数発生する可能性があります。



データをWebアプリケーションに取り込む方法で、私たちは決定しましたが、内部で何が起こるのでしょうか？

アプリケーション内のリクエストからのパラメーターはどうなりますか

最初の記事では、原則として、すべてのデータが特別なデータベースにテーブルの形で格納され、そのアクセスはテキストクエリの形式で構築され、ほとんどの場合特別なSQLクエリ言語（構造化クエリ言語-構造化言語クエリ）。



通常、Webアプリケーションは、アプリケーション開発者が作成したコードとユーザーから渡されたパラメーターを組み合わせたSQLクエリを作成します。 例を考えてみましょう：

 SELECT title, text FROM news WHERE id=$id
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この例では、 $ idはユーザーから渡されたパラメーター（リクエストの可変部分）であり、残りのリクエストは静的であり、アプリケーション開発者が作成しました。 静的SQLクエリにユーザーデータ変数が存在すると、クエリ全体が動的になります。

注射の本質は何ですか？

SQLの場合、注入の全体的なポイントは、データベースへのSQLクエリを歪ませ、通常のクエリを装ってサーバーに「スリップ」するようにHTTPリクエストのパラメータを変更することです。 これにより、攻撃者はデータへの不正アクセスを取得できます。



データベースにユーザートランザクションデータを含む「トランザクション」テーブルがあるとします。 次のフィールドが含まれます。

• 「User_id」-一意のユーザー識別子
• 「日付」-日付
• 「金額」-金額
• 「説明」-目的

トランザクション表

user_id	日付	額	説明
10	2015-05-26	1000	...
11	2015-05-26	1500	...
12	2015-05-26	1300	...
n	2015-05-26	x	...

アプリケーションにいるアカウントの識別子が10（user_id = 10）であり、このデータがアプリケーションセッションに格納されていると仮定します（ユーザー認証中にそこに記録されました）。



一般的に、特権ユーザーではない場合、データベースを参照してトランザクションに関する情報を取得できます。 トランザクションuser_id = 10の場合



2015年5月26日の取引に関するデータを受け取るため ユーザーのアカウントでは、次のアドレスのページを使用できます。

 http://mybank.simplethreats.ru/transactions.jsp?date=2015-05-26
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

呼び出されると、日付「2015-05-26」がURLのGETパラメーターから取得され、user_id値がアプリケーションセッションから取得されます。 このデータに基づいて、ユーザートランザクションに関する情報を取得するために、アプリケーションはSQLクエリを生成します。

 SELECT * FROM transactions WHERE date = "2015-05-26" AND user_id = 10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

より良い理解のためにSQL構文に精通していない人のために、このクエリを解析しましょう。

リクエストの内容

クエリは、テーブルからデータを選択するために使用されるSELECTステートメント（英語からの文字通り-“ SELECT ”）で構成されます。 また、UPDATE、INSERT、DELETEという演算子もあり、名前から推測できるように、それぞれ行の更新、挿入、削除の操作を実行します。



記号「*」は、テーブルのすべての列を選択することを意味します。 以下は、選択が行われるテーブルの名前を持つキーワードFROM（文字通り-“ FROM ”）です。



次はWHEREキーワード（文字通り英語の「 WHERE 」から）で、その後にテーブルから選択するための条件を直接決定する部分が続きます。



その後、キーワードANDまたはORで区切られた「field_name = value」という形式の条件があり、それぞれ「 AND 」と「 OR 」を意味します。



したがって、クエリをSQLからロシア語に翻訳すると、次のようになります。

トランザクションテーブルからすべてのフィールドを選択しますWHERE field date = "2015-05-26" AND field user_id = 10

ユーザーからのデータの検証が不十分な場合、攻撃者はデータベース要求の一部を含むアプリケーションのWebインターフェイスの形式に特別なコードを挿入できます。 この危険な脆弱性により、攻撃者は自分向けではない情報を読み取り、変更、削除できます。

運営

どのように機能しますか？ 考慮される例では、日付値「2015-05-26」はスクリプトURLからのSQLクエリに該当し、この例の目的のために、アプリケーションによってフィルタリングされません。



日付2015-05-26とともに日付パラメーターにさらにいくつかの文字を渡す場合：

 2015-05-26" AND user_id=11 --
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

正しいものの代わりに：

 SELECT * FROM transactions WHERE date ="2015-05-26" AND user_id = 10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

指定されたクエリは、次のSQLを生成します。

 SELECT * FROM transactions WHERE date = "2015-05-26" AND user_id = 11 -- " AND user_id = 10
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

SQL構文の2つのマイナス「-」はコメントの始まりを示します。したがって、「-」の後のすべての文字はインタープリターによって受け入れられず、ユーザーIDが検証されたリクエストの一部はデータベースサーバーによって切断されます。



実際にリクエストが実行されます：

 SELECT * FROM transactions WHERE date = "2015-05-26" AND user_id = 11
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その結果、別のユーザーのトランザクションに関する情報を受け取ります。 そして、IDを介してソート-他のユーザー。

SQLインジェクション攻撃のテクニックは何ですか

OWASPコミュニティでは 、SQLインジェクション攻撃の5つの基本的な方法（手法） について説明しています。

• Union 演算子 ：2つのクエリを1つの結果または結果セットに結合できるSELECTクエリに脆弱性がある場合、このアプローチを使用できます。

• 論理的方法 ：論理条件、または特定の仮定の真偽を確実に判断できる条件を使用します。

• エラーに基づく ：この方法では、Webアプリケーションにエラーに関する情報を強制的に発行させるために、さまざまな不正なリクエストを意図的に転送します。これに基づいて、攻撃者は注入された正しいリクエストを作成および送信できます。

• 代替データ伝送チャネルを使用する方法：この方法は、抽出されたデータの代替伝送チャネルの使用を伴います（例えば、Webサーバーへの発信HTTP接続を介して）

• 遅延時間 ：このメソッドは、スリープなどのデータベースコマンドを使用して、条件付き要求による遅延を決定します。 このメソッドは、Webアプリケーションから応答を取得する方法がない場合に有効です（結果、エラー）

さらに、リストされた手法の2つ以上の組み合わせを含む組み合わせアプローチを使用することもできます。



3つのタイプの攻撃は、データ抽出の方法によって区別されます。

• 関連：挿入されたSQLクエリの結果としてのデータは、挿入されたクエリが送信されたのと同じ方法で取得されます。 これは最も単純なタイプの攻撃であり、その結果、変更された要求によって要求されたデータがWebアプリケーションページに直接表示されます。

• 未接続 ：挿入されたSQLクエリからのデータは、変更されたクエリが送信された方法とは異なる方法で取得されます。 （たとえば、データは電子メールメッセージで攻撃者に送信されます）

• 演ductive的またはブラインド ：SQLインジェクションの結果、実際のデータ抽出は行われませんが、攻撃者は一連の特定のインジェクトSQLクエリを送信した結果としてWebサーバーの動作を観察することにより情報を取得できます。

自分を守る方法は？

推奨事項は非常に簡単です-受信データをフィルタリングします。 同時に、フィルタリングする前に明らかに形式に対応しないデータを持ち込まない方が良いです。 言い換えると、入力データがフォーマットに準拠しているかどうかを確認し、ユーザーにエラーを与える必要があります。



たとえば、表示するニュースIDを取得する必要があります。 私たちのシステムでは、これは常にゼロより大きい整数であり、私たちはそれについて知っています。 数値が送信されない場合、またはこの数値がゼロ以下の場合、エラーをスローしてスクリプトを停止する必要があります。



多数の異なるエントリポイントを持つ大規模なWebアプリケーションが既にある場合、この推奨事項の実装を進める方法は？



データベースインジェクション保護を実装するための体系的なアプローチを提供します。 このタイプの攻撃による潜在的な脅威を最小限に抑えるには、次の手順を順番に実行する必要があります。

• 外部からWebアプリケーションからデータを受信するすべてのポイントを定義し、すべてのエントリポイント（URL）、渡されたパラメーターの名前、プロトコル（HTTP / HTTPS）およびそれらの送信方法（GET、POST、PUTまたはDELETE）を書き出します。
  
  
  
  
• 質問に答えて、各パラメーターのデータ型を決定します-どのような種類の値を取得する必要がありますか？
  
  
  
  
• 型順守のために各パラメータのチェックを実装します。
  
  
  
  
• バックスラッシュ文字「\」を使用して、引用符およびその他の特殊文字のエスケープを実装します。 さらに、リクエスト内のパラメータが一重引用符で囲まれている場合は、一重引用符をエスケープし、「\ '」で置き換える必要があります。同様に二重引用符で置き換えます。 この場合、二重引用符内の単一引用符をエスケープする必要はありません。逆も同様です。 理論的には、実際には、ほとんどすべての一般的なフレームワークとスクリプト言語には、phpのmysqli_real_escape_stringなどの特殊文字をエスケープするための組み込み関数があります。

一般的に、すべてのデータベースクエリは、通過する際に特別なトレーニング（フィルタリングとシールド）を受ける単一ポイント（フレームワークなど）を通過することを推奨できます。



また、SQLインジェクション攻撃を成功させるには、攻撃者が構文的に正しいSQLクエリを送信する必要があることも覚えておく必要があります。 ただし、誤って挿入されたリクエストの結果としてWebアプリケーションがエラー情報を返す場合、攻撃者は元のリクエストのロジックを回復し、正しく挿入する方法を理解できるようになります。



したがって、アプリケーションによってどのエラー情報が提供されるかを注意深く監視する必要があります。 それでも、Webアプリケーションがエラーに関する情報を隠している場合、開発者はいずれにしても、最初のリクエストのロジックを復元できる必要があります（最も単純な場合、エラーのログを保持しますが、画面には表示しません）。

他にどんな注射がありますか？

データベースインジェクションに加えて、外部から生データを受信する他の環境は、インジェクション攻撃の影響を受ける可能性があります。 別の一般的なケースは、オペレーティングシステムのシェルのインジェクション、いわゆる「OSインジェクション」です。



「コマンドインジェクション」OWASPの説明からこの例を検討してください。



写真をダウンロードし、その後削除する機能をユーザーに提供する特定のソーシャルネットワークがあります。 PHP言語で記述された特定のスクリプトがあり、写真の削除を担当します。

  <?php $file=$_GET['filename']; system("rm /var/www/user_photos/$file"); ?>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その典型的な呼び出しは次のようになります。

 http://mysocnet.simplethreats.ru/user_file_delete.php?filename=1246.jpg
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、コマンドの実行を伴います：

 rm /var/www/user_photos/1246.jpg
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このリクエストを渡すことで、アプリケーションでディレクトリ全体をクリアするのは非常に簡単です。

 user_file_delete.php?filename=../ -rf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

（実際、user_file_delete.php？filename = ..％2F + -rfのようなURLに転送すると、スペースと特定の文字がエンコードされますが、わかりやすくするために、スペースやその他の文字をラップせずに記述します）



実行の原因：

 rm /var/www/user_photos/.. –rf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

に等しい

 rm /var/www/ -rf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

つまり、確認（-fパラメーター）および再帰的（-rパラメーター）なしで、アプリケーションファイルが保存されているwwwディレクトリの内容全体を削除します（rfコマンド）。 すべてのサブディレクトリとそのファイル。 運命-あなたは敵を望みません。



そして、あなたはファイルシステムを削除して、フォームのリクエストを渡すことはできません：

 user_file_delete.php?filename=12346.jpg && adduser ghost && echo ghostpass | passwd ghost –stdin
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

攻撃者は次のコマンドを実行します。

 rm /var/www/user_photos/12346.jpg && adduser ghost && echo ghostpass | passwd ghost –stdin
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、サーバーにアクセスするためのアカウントを自分で作成します。



99％のシステムのWebサーバーは他のアカウントを作成できない非特権ユーザーから実行されるため、実際にはこの方法でユーザーを作成することはほとんど不可能です。



UNIXシステムとそのシェルの2つの機能により、指定されたコマンドチェーンの実行が可能です。



最初の機能はパイプライン（パイプライン、パイプ、パイプ）です。 パイプラインの本質は、演算子「|」で区切られている場合、あるコマンドの出力を別のコマンドの入力に転送できることです。



2番目の機能は、論理演算子「&&」と「||」を使用してコマンドの組み合わせを実行する機能です。 前のコマンドが正常に実行され、何らかの論理「AND」である場合、&&演算子は次の指定されたコマンドを実行します-コマンド1とコマンド2を実行します。 演算子「||」は論理「OR」に類似しており、最初のコマンドが実行されていない場合にのみ2番目のコマンドを実行します（コマンド1またはORコマンド2を実行）。

次は？

もちろん、注入のカテゴリに起因するもののごく一部のみを考慮しました。 巨大なレイヤーは、いわゆるDOMまたはHTMLインジェクションによって占有されます。これにより、XSSなどのタイプの攻撃を実行できるようになります。



XSSの問題は常に十分に深刻であり、動的コンテンツの時代には、JavaScriptが非常に強力な機能を提供するため、この種の攻撃の危険性が高まります（感染したアプリケーションがあなたの写真を撮って、攻撃者に写真を送信できる範囲）。



6月にリリースされる次の記事の1つは、XSSの問題と、この種の攻撃に対する悪用と保護の方法について説明します。



警戒してください！