| « httprintの新バージョン | WSIS(世界情報社会サミット) - インターネットへの政府介入 » |
Strict Session管理パッチ
Link: http://www.suspekt.org/session_strict_mode.patch
Hardedned PHPプロジェクトのStefan EsserさんがPHP SESSIONをより安全に運用するパッチを公開しています。
このパッチはPHPのセッション管理の問題に対応します。PHPのSESSIONモジュールがSession Fixation(セッションIDの固定化)に対して脆弱であることは随分前から広く(?)知られていました。このパッチを適用すればSession Fixation問題も随分改善します。
例えば、PHP SESSIONを利用しているサイトで
と言うURLがクッキーを利用したセッション管理行っているとします。セッションデータが初期化されサーバに保存されているか、されていないかに関わらず、ブラウザが送信したクッキーによって指定されたセッションIDがそのまま使われます。このパッチはセッションIDのデータが無ければ、セッションIDを再生成してセッションを開始するよう動作が変わります。(通常のPHPのセッション管理はpermissiveなセッション管理と呼ばれています。パッチ適用後はstrictなセッション管理も選択できるようになります。)クッキーだけを使ったセッション管理では、セッションIDが固定化する問題はあまり深刻な問題ではありませんが、好ましい動作とは言いがたいです。
session.use_only_cookiesがoffの場合、問題は深刻です。
http://example.jp/index.php?PHPSESSID=123456
とすると、セッションデータが無い場合、セッションIDが123456になってしまいます。session.use_cookies=on設定(デフォルト値)でクッキーを利用するセッション管理でも、PHPSESSID=123456をクッキーに設定されます。つまり、デフォルトの状態のPHPのセッション管理はsession.use_only_cookiesがoffである為、普通にSession Fixationに脆弱になってしまいます。一応、サイト外のURLに埋め込まれたセッションIDを受け付けないようにするsession.referer_check設定もあるのですが、REFERERを使っているので十分な対策とはいえません。許可するドメインなどを記載する設定項目なので、当然ですが、デフォルトでは何も設定されていません。何も設定されていない時はREFERERチェックは行われません。
追記:色々書いていますが、要するにデフォルト設定のPHPだとSession Fixationに脆弱である、と言うことです。
より厳格なセッションID管理を行うには、パッチを適用後、
session.use_strict_mode = on
と設定するだけです。
このパッチを適用するとユーザ定義セッションセーブハンドラで以下の2つの関数が利用(定義)できるようになります。
string create_sid()
bool validate_sid($key)
create_sid関数は新しいセッションIDを作成します。
validate_sid関数は$keyが正しいかチェックします。
ところで、デフォルトではsession.use_only_cookiesはoffに設定されています。しかし、普通のサイトはsession.use_only_cookiesはONで運用するべきです。もし、offで運用されている場合、強くONに変更して運用することをお勧めします。先ほども書きましたが、session.use_only_cookies=onであればSession Fixation問題はそれほど重大な問題とは言えません。パッチを適用していない場合でもsession.use_only_cookies=onであればそれほど心配する必要はありません。
# 随分古いInternet ExplorerではXMLHttpRequestで他のサイトにリクエスト
# を送信できたりしました。しかし、今は出来ないのでクッキーを利用した
# セッション管理に対して効果的なSession Fixation攻撃は出来ないと思い
# ます。
This entry was posted on December 24th, 2005 at 15:12:09 and is filed under Security, PHP
Permalink
3 comments
PHPサイバーテロの技法を読んでから、
これまで以上に注意深く関連情報をチェックしています。
ActiveRecord?だとか、そんなんどうでもいいから、
セキュアなものをまずは作りましょう、と強く言いたい...
XSS、CRLFinjection、クッキーモンスターと併用することで、Session Fixation攻撃は出来ます。
Session FixationはセッションIDを盗む事(知る事)が目的です。XSSに脆弱なサイトはもともとセッションIDの保護ができていません。Session Fixationを使わなくてもXSSだけでも十分です。
Strictセッションパッチを見ると判りますがサーバ側で未初期化のセッションIDが送られてきた場合、必ずセッションIDを再生成して使用するパッチになっています。URL、メール、国別ドメインを利用したクッキーの設定などのセッションIDを固定化する手法を用いても攻撃者が設定したセッションIDになりません。(任意のJavaScriptが実行可能な場合はセッションIDを盗めばよいだけです。クッキーを設定する関数を利用してセッションIDを設定してもサーバ側で別のIDに変えてしまうので意味がありません。)
Session Fixation攻撃を成功させる為には固定のセッションIDを何らかの方法で固定しなければならないですが、未初期化のセッションIDを放棄すると原理的にセッションIDを固定化できません。もし何か見過ごしている場合はもう少し詳しく説明していただけると助かります。
もし何らかの方法でセッションIDの固定化が可能な場合はパッチに穴がある事になります。
Comment feed for this post