C言語の最も重要なセキュリティの基本ルールは「メモリをきっちり管理する」です。もちろん他にもプログラミングをする上で注意しなればならない事は山ほどありますが、C言語でプログラミングする上で最も基本的なセキュリティのルールは「正確なメモリ管理」です。
Webアプリを作る上でのセキュリティの基本ルールは何でしょうか?
今回はWebアプリセキュリティはもっとシンプルに考えよう!という話です。
フィルター/デコード時のセキュリティ対策の鉄則
ブラックリスト型(サニタイズ型)のセキュリティ対策クイズ 解答編 ではバリデーション時の注意点をまとめに書きました。
ホワイトリスト型のバリデーションを行う場合でも以下の項目に注意しなければなりません。
- 特殊な意味を持つ文字を許可する場合、細心の注意を払う
- そもそも特殊な意味を持つ文字は許可しない方が良い
- 絶対の自信が無いのであれば、特殊な意味を持つ文字を許可してはならない
ブラックリスト型(サニタイズ型)のセキュリティ対策クイズ 解答編 でパストラバーサルを禁止するようなフィルター処理(ブラックリスト型サニタイズ処理)は基本的には行うべきではありません。しかし、どうしてのフィルター/デコード処理が必要になる場合があります。
“フィルター/デコード時のセキュリティ対策の鉄則” の続きを読む
ブラックリスト型(サニタイズ型)のセキュリティ対策クイズ 解答編
昨日のエントリのクイズです。今回はその解答です。もう一度問題を書いておきます。
ブラックリスト型のセキュリティ対策は、どうしても仕方がない限り使ってはなりません。以下のサニタイズコードは “../” 、”..” を無効な文字列として取り除きます。このサニタイズコードを回避しカレントディレクトリよりも上の階層からのパスへアクセスするパストラバーサルを行う文字列を考えてみて下さい。(/etc/passwdなどにアクセスできる文字列を考えて下さい)
レベル1
|
0 1 2 3 4 5 6 7 8 9 10 |
<?php if ($_GET['filename']{0} === '/') { // 絶対パスは無効 die('無効なファイル名が送信されました。'); } // トラバーサルに利用される"../", ".."を削除 // カレントディレクトリ以下のファイルだけ読み込む? $safe_path = str_replace(array('../', '..'), '', $_GET['filename']); readfile($safe_path); |
簡単すぎた方はレベル2をどうぞ。以下のコードはブラックリスト型チェックでパストラバーサルに利用される “.” が1つしか無いことでセキュリティを維持しようとするコードです。
レベル2
|
0 1 2 3 4 5 6 7 8 9 10 11 12 |
<?php if ($_GET['filename']{0} === '/') { // 絶対パスは無効 die('無効なファイル名が送信されました。'); } if (strpos($_GET['filename'], '.') !== strrpos($_GET['filename'], '.')) { // トラバーサルに利用される"."は1つしか許さない die('無効なファイル名が送信されました。'); } // カレントディレクトリ以下のファイルだけ読み込む? readfile($_GET['filename']); |
まだ解いていない方は少しだけ時間を使って考えてみて下さい。
PHPスクリプトアップロード対策
今日はWordPressプラグインとWebサーバー設定の脆弱性を例にスクリプトアップロード対策を紹介します。
ファイルアップロードをサポートしているシステムの場合、PHPスクリプトとして実行されてしまう拡張子を持つファイルをアップロードされてしまうとサーバーを乗っ取られてしまいます。
参考リンク:
APIとエスケープ/バリデーションとセキュリティ
今回はセキュリティ対策におけるAPIとエスケープ/バリデーションをどう考えるかの話です。
Cプログラマになろうとしているプログラマにメモリ管理を教えないことは考えられません。メモリ管理を考えなくても文字列の処理をしたりするライブラリなどもありますが、メモリ管理をあまり考えなくても良いAPIさえ使っていればOK、メモリリークもValgrindでチェックしてレポートされなければOK、と考えているプログラマが作ったプログラムが安全である可能性は低いでしょう。
言語やプラットフォームの基本中の基本を避けて通っては安全なプログラムの構築が難しくなるだけです。
安全なプログラムを作るために「プログラマに何を教えるべきか?」が今日のテーマです。
ブログアプリをb2evolutoinからWordPressに移行しました
昨日までブログアプリはb2evolutionでしたが、今日からWordpressに変わりました。
CasperJS/PhantomJSでシンタックスエラー行を取得する方法
CasperJSやPhantomJSを使っていてシンタックスエラーがあると
|
0 1 2 3 |
[yohgaki@localhost ]$ casperjs test.js SyntaxError: Parse error |
と表示するだけでエラー行を返してくれません。
フレームワーク対決:Node.js+SailsとPHP+Phalconのベンチマーク
Node.jsは速いと言われています。Node.jsのMVCフレームワークであるSailsとPHP最速フレームワークであるPhalconとの性能を比較しました。
Fedora19用のPhalconのRPM/SRPMパッケージ
PHP最速フレームワークPhalcon 1.2.4のRPM/SRPMパッケージを作りました。バイナリRPMはFedora19 x86_64用のみ作りました。
SSLでの圧縮の利用は禁止
Linux上のCasperJS/PhantomJS/SlimerJSでShift JIS/EUCを取り扱う方法
Linux上のCasperJS/PhantomJS/SlimerJSからShift_JIS/EUC-JPのページを取り扱う事が出来なくて困っていたのですが、解決策が分かりました。
“Linux上のCasperJS/PhantomJS/SlimerJSでShift JIS/EUCを取り扱う方法” の続きを読む
SQLのエスケープ
SQLにエスケープなんて必要ないと考えている方も居るとは思いますが、現実にはエスケープを知っておくことは必須と言っても構わないと思います。
既にSQL識別子のエスケープについては書きましたが、今回はSQLエスケープというよりは安全にSQLデータベース利用する話です。先ずはエスケープの話を全て終わらせよう、と思っているのですがSQLエスケープのエントリが無いので作りました。私のブログを読んでいる方はエスケープ処理、プリペアードクエリの利用方法などはよくご存知だと思うのでここの部分は省略しています。
JavaScript: / の \ によるエスケープのみによるセキュリティ対策は禁止
RFC 4696をもう一度読みなおしてみると/もエスケープ可能文字に定義してありました。JavaScriptのエスケープシークエンスの処理の部分も間違っていたので全面的に書き直します。
JSONのエスケープ
追記:最近のOWASPガイドの更新でJavaScript文字列はUnicodeエンコードで安全性を確保するよう変更されました。元々このブログでもUnicodeエスケープのまま利用するように書いています。他の言語のユーザーはUnicodeエスケープを利用しましょう。PHPもASCII領域の文字をUnicodeエスケープするようにした方が良いと思います。これは提案して実現するように努力します。
JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。
PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサポートしています。
JSON関数がサポートされている話は簡単!となれば良いのですが、 いろいろ考慮しなければならない事があります。
TL;DR;
json_encode()を利用する場合
|
0 1 2 |
$json = json_encode($data, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT); |
と利用します。これでもまだ最適なエンコード方式とは言えませんが、デフォルトとして最低限必要なオプションが
JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT
です。
JSONデータの文字エンコーディングは基本UTF-8です。UTF-8文字データは”予めバリデーションしておく”必要があります。
PHP最速フレームワークPhalconのインストール
Phalconを初めて知ったのはもう忘れるくらい昔の話です。今でも活発に開発が行われており、かなり使えるフレームワークに仕上がっています。
Phalconは他のどのPHPフレームワークと違う特徴があります。PhalconはPHPのフレームワークですが、PHPで書かれていません。C言語で書かれています。つまり、PHPのネイティブモジュールとして動作するPHPフレームワークです。
PHPの比較とBOOL/NULL型の話
先日、10年以上勘違いをしていたことがPHPの開発者MLで議論して発覚したので、その大恥を披露します。
PHPの比較とBOOL/NULL型の話です。
ChatWorkのコピーサイトを調べてみました
ChatWorkをまるごとコピーしたコピーサイトが中国に登場で紹介したように、まるごとコピーしたサイトが現れました。こういうコピーサイトが現れると、内部のソースコードが漏洩したのでは?と不安になる方も居ると思います。調べてみたので参考にして下さい。
ChatWorkの画面
コピーサイトのWokingIMの画面
PhantomJSがURLをopenするとハングする原因
PhantomJSはWebKitを利用したヘッドレスHTTPクライアントです。Webアプリのテストのみでなく、WebページをPDFや画像に変換する為に利用している方も多いと思います。手元のFedora19を載せているマシンでは動作せず、原因と思われる物も分ったのでエントリを作りました。
“PhantomJSがURLをopenするとハングする原因” の続きを読む
日経Linux12月号
先月の11月号にOSSEC HIDSの記事を書いたので、次の号の日経Linux12月号も頂きました。
100の初心者から上級者向け(OpenStackなど)Tipsが載っています。
GPS将棋サーバーを作る、ownMdm (MDM: Mobile Device Management)でAndroidスマホのロック&位置取得、DAPPサーバー/DLNAサーバーを導入する、など役立つTIPSが載っています。付録のDVDに記事で利用しているUbuntuが入っているようなので初心者でも直ぐ楽しめるが良いですね。
この他にも電子工作で室温を計測し、グラフ化する記事もあります。これは自宅の温度管理(必要なのかは別にしてただ面白い)やサーバールームがある会社さんではサーバールームの温度管理などにも使えます。学生時代以来、電子工作はしていませんでしたが久々にやってみたくなりました。
PHPのスクリプトを色々な環境で試すサービス
PHPで開発したり、記事を執筆する時には色々な環境で試したい場合があります。自分の環境で試すのも良いですが、Webサイトにコピー&ペーストで試せると便利です。あまり知られていない(?)ようなので紹介します。