「ãƒãƒƒã‚ング・ラボã®ã¤ãã‚Šã‹ãŸ 完全版 仮想環境ã«ãŠã‘ã‚‹ãƒãƒƒã‚«ãƒ¼ä½“験å¦ç¿’ã€ã¨ã€Œä½“系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ 第2版 脆弱性ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–ã®å®Ÿè·µã€ï¼ˆé€šç§°ï¼šå¾³ä¸¸æœ¬ï¼‰ã‚’å‚考ã«ã€ã‚»ã‚ュリティã®å‹‰å¼·ã‚’進ã‚ã¦ã„ã¾ã™ã€‚
今回ã¯ã€å¾³ä¸¸æœ¬ã® 3ç« ã®ã€ŒWebã‚»ã‚ュリティã®åŸºç¤Žã€ã«ã¤ã„ã¦ã€å®Ÿéš›ã«ã‚„ã£ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
å‚考文献
今回ã‹ã‚‰ã€Œç‹¬ç¿’PHP 第4版ã€ã‚’å‚考書ã«è¿½åŠ ã—ã¾ã—ãŸã€‚徳丸本ã®ç”¨æ„ã—ã¦ãã‚Œã¦ã„る実習環境ã§ã¯ã€PHP ãŒä½¿ã‚ã‚Œã¦ã„ã¾ã™ã€‚ç§ã¯ PHP ã¯åˆã‚ã¦ãªã®ã§ã™ãŒã€C言語ã«ä¼¼ã¦ã„ã‚‹ã“ã¨ã‚‚ã‚ã‚Šã€ç‹¬ç¿’PHP ãŒã‚ã‚Œã°ã€ã¨ã‚Šã‚ãˆãšé•å’Œæ„Ÿãªãèªã¿è§£ã‘ã¦ã„ã¾ã™ã€‚
独習PHP ã«ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã®ã“ã¨ã‚„ã€ã‚»ã‚ュリティã«ã¤ã„ã¦ã‚‚ã€å¤šã‚ã«è¨€åŠã—ã¦ãã‚Œã¦ã„ã¦ã€ç†è§£ã—ã‚„ã™ã‹ã£ãŸã§ã™ã€‚数多ãã‚る技術書ã®ä¸ã§ã‚‚ã€ç‹¬ç¿’シリーズã¯å®‰å¿ƒã—ã¦ä½¿ãˆã‚‹æœ¬ã ã¨æ€ã„ã¾ã™ã€‚
ã¯ã˜ã‚ã«
「セã‚ュリティã€ã®è¨˜äº‹ä¸€è¦§ã§ã™ã€‚良ã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ãã ã•ã„。
ã‚»ã‚ュリティã®è¨˜äº‹ä¸€è¦§
徳丸本ã®ç’°å¢ƒæ§‹ç¯‰ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬9回ã§ã‚„ã‚Šã¾ã—ãŸã€‚
daisuke20240310.hatenablog.com
ã¾ãŸã€å¾³ä¸¸æœ¬ãŒç”¨æ„ã—ã¦ãã‚Œã¦ã„ã‚‹ã€è„†å¼±ãªã‚¢ãƒ—リケーション Bad Todo ã®æº–å‚™ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬12回ã§ã‚„ã‚Šã¾ã—ãŸã€‚今回ã¯ã€ã“ã®ç’°å¢ƒã‚’使ã£ã¦ã‚„ã£ã¦ã„ãã¾ã™ã€‚
daisuke20240310.hatenablog.com
Bad Todoã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚’確èªã™ã‚‹
ã¾ãšã€Bad Todo ã«ã‚¢ã‚¯ã‚»ã‚¹ã—ãŸã¨ãã®ã‚·ãƒ¼ã‚±ãƒ³ã‚¹ã«ã¤ã„ã¦ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã«é–¢ã™ã‚‹ã¨ã“ã‚ã‚’ä¸å¿ƒã«ã€å›³ã«ã—ã¦ã¿ã¾ã—ãŸã€‚
Bad Todo ã¯ã€è„†å¼±æ€§ã‚’多ãå«ã‚€ã‚ˆã†ã«ä½œã‚‰ã‚Œã¦ã„ã‚‹ãŸã‚ã€ã“ã®ã‚·ãƒ¼ã‚±ãƒ³ã‚¹ãŒæ™®é€šã¨ã„ã†ã‚ã‘ã§ã¯ãªã„ã®ã§ã€æ³¨æ„ãŒå¿…è¦ã§ã™ã€‚
Bad Todoã®ãƒã‚°ã‚¤ãƒ³ã‹ã‚‰ãƒã‚°ã‚¢ã‚¦ãƒˆã¾ã§
シーケンス図ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã‚‚è²¼ã£ã¦ãŠãã¾ã™ã€‚
@startuml
title 徳丸本 Bad Todo
group トップページã«ã‚¢ã‚¯ã‚»ã‚¹ (ãƒã‚°ã‚¤ãƒ³å‰)
Client -> Server: GET /todo/
Server -> Client: 200 OK
note left
index.phpã«todolist.phpãŒæ›¸ã‹ã‚Œã¦ã„ã‚‹
end note
Client -> Server: GET /todo/todolist.php
Server -> Client: 200 OK (Set-Cookie: TODOSESSID=emce6a5kg99aurb263obo7fd82; path=/)
note left
ã“ã®æ™‚ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã«CookieãŒä¿å˜ã•ã‚Œã‚‹
end note
end
group ãƒã‚°ã‚¤ãƒ³ã‚’クリック (ãƒã‚°ã‚¤ãƒ³å‰)
Client -> Server: GET /todo/login.php?url=todolist.php&TODOSESSID=emce6a5kg99aurb263obo7fd82
note right
セッションIDãŒURLã«åŸ‹ã‚è¾¼ã¾ã‚Œã¦ã„ã‚‹
(.user.iniã§URL自動埋ã‚è¾¼ã¿ã®è¨å®šã«ãªã£ã¦ã„ã‚‹ãŸã‚)
end note
Server -> Client: 200 OK
end
group ユーザIDã¨ãƒ‘スワードを入力ã—ã¦ãƒã‚°ã‚¤ãƒ³ãƒœã‚¿ãƒ³ã‚’クリック
Client -> Server: POST /todo/logindo.php?
note left
メッセージボディã®å†…容
TODOSESSID=emce6a5kg99aurb263obo7fd82&userid=daisuke
&pwd=useruser&url=todolist.php
end note
Server -> Client: 302 Moved Temporarily
note right
一覧ページã«ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã—ã¦ã‚‹
Set-Cookie: USER=O%3A4%3A%22User%22%3A3%3A%7Bs%3A8
%3A%22%00User%00id%22%3Bs%3A1%3A%223%22%3Bs%3A12%3A
%22%00User%00userid%22%3Bs%3A7%3A%22daisuke%22
%3Bs%3A11%3A%22%00User%00super%22%3Bs%3A1%3A
%220%22%3B%7D; path=/
end note
Client -> Server: GET /todo/todolist.php?TODOSESSID=emce6a5kg99aurb263obo7fd82
Server -> Client: 200 OK
end
group ãƒã‚°ã‚¢ã‚¦ãƒˆãƒœã‚¿ãƒ³ã‚’クリック
Client -> Server: GET /todo/logout.php?TODOSESSID=emce6a5kg99aurb263obo7fd82
note left
Cookie: USER=O%3A4%3A%22User%22%3A3%3A%7Bs%3A8
%3A%22%00User%00id%22%3Bs%3A1%3A%223%22%3Bs%3A12%3A
%22%00User%00userid%22%3Bs%3A7%3A%22daisuke%22
%3Bs%3A11%3A%22%00User%00super%22%3Bs%3A1%3A
%220%22%3B%7D; path=/
end note
Server -> Client: 200 OK
note right
Set-Cookie: TODOSESSID=deleted;expires=Mon, 14-Aug-2023 05:48:22 GMT; path=/
Set-Cookie: USER=deleted; expires=Mon, 14-Aug-2023 05:48:22 GMT; path=/
end note
end
@enduml
Bad Todo ã®ã‚·ãƒ¼ã‚±ãƒ³ã‚¹ã«ã¤ã„ã¦ã§ã™ãŒã€å…¨èˆ¬çš„ã«ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ã‚’ URL ã«åŸ‹ã‚込んã§ã„ã‚‹ã¨ã“ã‚ãŒç›®ã«ã¤ãã¾ã™ã€‚
HTTP ã¯ã‚¹ãƒ†ãƒ¼ãƒˆãƒ¬ã‚¹ã®ãƒ—ãƒãƒˆã‚³ãƒ«ã®ãŸã‚ã€çŠ¶æ…‹ã‚’ç¶æŒã™ã‚‹ï¼ˆã‚»ãƒƒã‚·ãƒ§ãƒ³ï¼‰ãŸã‚ã«ã¯ã€ã‚µãƒ¼ãƒã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆé–“ã§ã€ä½•ã‚‰ã‹ã®ãƒ¦ãƒ‹ãƒ¼ã‚¯ãªæƒ…å ±ã‚’å…±æœ‰ã—ã¦ãŠãå¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚
éŽåŽ»ã«ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã¨ã—ã¦ã€hiddenパラメータã§ã‚„ã‚Šãã‚Šã—ã¦ã„ãŸæ™‚代もã‚ã£ãŸã‚ˆã†ã§ã™ãŒã€Cookie ãŒä½¿ã‚れるよã†ã«ãªã‚Šã€ç¾åœ¨ã¯ã€ä¸€æ™‚çš„ãªä¹±æ•°å€¤ã‚’セッションID ã¨ã—ã¦ã€å®Ÿéš›ã®ãƒ‡ãƒ¼ã‚¿ï¼ˆãƒ¦ãƒ¼ã‚¶åã€ãƒ‘スワードãªã©ï¼‰ã¯ã€ã‚µãƒ¼ãƒã§ç®¡ç†ã•ã‚Œã‚‹ã‚ˆã†ã«ãªã£ãŸã‚ˆã†ã§ã™ã€‚
é‡è¦ãªãƒ‡ãƒ¼ã‚¿ã¯é€šä¿¡ä¸Šã«ã¯å‡ºãªããªã‚Šã¾ã—ãŸãŒã€ã“ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒæ¼æ´©ã™ã‚‹ã¨ã€ã“ã®ãƒ¦ãƒ¼ã‚¶ã«æˆã‚Šã™ã¾ã™ã“ã¨ãŒå¯èƒ½ã«ãªã‚Šã¾ã™ã€‚
セッションIDãŒæ¼æ´©ã—ãŸå ´åˆã‚’試ã™ï¼ˆã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ï¼‰
å°‘ã—実験ã—ã¦ã¿ã¾ã™ã€‚
今ã€OWASP ZAP 㨠Firefox ã®çµ„ã¿åˆã‚ã›ã§ã€Bad Todo ã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã¦ã„ã¾ã™ã€‚
Bad Todo ã«ã¯ã€ä»¥å‰ã€æº–å‚™ã—ãŸã¨ãã«ç™»éŒ²ã—ãŸéžå…¬é–‹ã® Todo ㌠1ä»¶è¿½åŠ ã•ã‚Œã¦ã€è¨ˆ3件ãŒç™»éŒ²ã•ã‚Œã¦ã„ã¾ã™ã€‚
Firefox ã§ã€Bad Todo ã«ãƒã‚°ã‚¤ãƒ³ã—ã¦ã„る状態ã§ã€OWASP ZAP 㧠HTTP ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’確èªã—ã¾ã™ã€‚リクエストヘッダã«ã€Cookie ã®å€¤ãŒã‚ã‚‹ã®ã§ã‚³ãƒ”ーã—ã¦ãŠãã¾ã™ã€‚
OWASP ZAPã§Cookieã®å€¤ã‚’å–å¾—
次ã«ã€ä¸Šã¨ã¯åˆ¥ã«ã€Burp Suite 㨠Chromium ã®çµ„ã¿åˆã‚ã›ã§èµ·å‹•ã—ã¾ã™ï¼ˆæ”»æ’ƒè€…)。
ãƒã‚°ã‚¤ãƒ³ã—ã¦ã„ãªã„状態ã§ã€Bad Todo ã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã¾ã™ã€‚ゲストアカウントãªã®ã§ã€å…ˆã»ã©ç™»éŒ²ã—ãŸéžå…¬é–‹ã® Todo ã¯è¦‹ãˆãªã„状態ã§ã™ã€‚
ゲストã§Bad Todoã«ã‚¢ã‚¯ã‚»ã‚¹
Burp Suite ã® intercept ã‚’ ON ã«ã—ã¦ã€ãƒ–ラウザをリãƒãƒ¼ãƒ‰ã—ã¾ã™ã€‚
ã™ã‚‹ã¨ã€Burp Suite ã®æ–¹ã§ã€GETリクエストを検知ã—ã¦ã€Bad Todo アプリã«ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’é€ã‚‰ãšã«æ¢ã‚ã¦ãã‚Œã¦ã„ã¾ã™ã€‚ã“ã“ã§ã€ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ˜ãƒƒãƒ€ã® Cookie ã‚’å…ˆã»ã©ã‚³ãƒ”ーã—ãŸã‚‚ã®ã«ç½®ãæ›ãˆã¾ã™ã€‚
Cookieを改変ã™ã‚‹
Forward をクリックã—ã¦å…ˆã«é€²ã‚ã¾ã™ã€‚ã™ã‚‹ã¨ã€éžå…¬é–‹ã®ã¯ãšã® Todo ãŒè¡¨ç¤ºã•ã‚Œã¦ã„ã¦ã€ã‚²ã‚¹ãƒˆã‚¢ã‚«ã‚¦ãƒ³ãƒˆã ã£ãŸã®ãŒã€ç™»éŒ²æ¸ˆã¿ã®ãƒ¦ãƒ¼ã‚¶ã§ãƒã‚°ã‚¤ãƒ³ã—ãŸã‚ˆã†ã«è¡¨ç¤ºã•ã‚Œã¦ã„ã¾ã™ã€‚
Cookieã‚’å·®ã—替ãˆã¦Bad Todoをアクセスã—ãŸã¨ã“ã‚
セッションID ãŒæ¼æ´©ã™ã‚‹ã¨ã€ãƒã‚°ã‚¤ãƒ³ãƒ¦ãƒ¼ã‚¶ã«ã€ãªã‚Šã™ã¾ã™ã“ã¨ãŒå‡ºæ¥ã¦ã—ã¾ã†ã¨ã„ã†å®Ÿé¨“ã§ã—ãŸã€‚
今回ã¯æ‰‹ä½œæ¥ã§ Cookie ã‚’å·®ã—替ãˆãŸã®ã§é¢å€’ã«è¦‹ãˆã¾ã™ãŒã€é€šå¸¸ã¯ Python ãªã©ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã§æ”»æ’ƒã‚’実ç¾ã™ã‚‹ãŸã‚ã€Cookie ã‚’å·®ã—替ãˆç¶šã‘ã‚‹ã“ã¨ãŒç°¡å˜ã«å¯èƒ½ã«ãªã‚Šã¾ã™ã€‚
ã“ã®ãŸã‚ã€ãƒã‚°ã‚¤ãƒ³ã—ãŸãƒ¦ãƒ¼ã‚¶ã¨åŒã˜ã“ã¨ãŒå‡ºæ¥ã‚‹ã®ã§ã€Todo を削除ã—ãŸã‚Šã€ãƒã‚°ã‚¤ãƒ³ãƒ¦ãƒ¼ã‚¶ã®ãƒ‘スワードを変更ã—ãŸã‚Šå‡ºæ¥ã¦ã—ã¾ã„ã¾ã™ï¼ˆBad Todo ã¯ã€ãƒ‘スワード変更時ã«ã€å¤ã„パスワードをèžã‹ã‚Œãªã„ãŸã‚)。
Bad Todoã®æ”¹å–„
Bad Todo を変更ã—ã¦ã€å¯èƒ½ãªã‚‰æ”¹å–„ã—ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚
wasbook ã«ã¯ã€SSH ã§ãƒã‚°ã‚¤ãƒ³ã§ãã¾ã™ã€‚ファイル検索ã—ãŸã¨ã“ã‚ã€Bad Todo ã¯ã€/var/www/html/todo ã§å‹•ä½œã—ã¦ã„るよã†ã§ã™ã€‚
URLã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒåŸ‹ã‚è¾¼ã¾ã‚Œãªã„よã†ã«å¯¾ç–ã™ã‚‹
ã¾ãšã€URL ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒåŸ‹ã‚è¾¼ã¾ã‚Œãªã„よã†ã«ã€PHP ã®è¨å®šãƒ•ã‚¡ã‚¤ãƒ«ã§å¯¾ç–ã—ã¦ã¿ã¾ã™ã€‚
è¨å®šãƒ•ã‚¡ã‚¤ãƒ«ã¯ã€/var/www/html/todo/.user.ini ã«ã‚ã‚Šã¾ã—ãŸã€‚ç¾çŠ¶ã¯ã€ä»¥ä¸‹ã®ã‚ˆã†ã«ãªã£ã¦ã„ã¾ã™ã€‚
1行目ã¯ã€ã‚¯ãƒƒã‚ーを使用ã™ã‚‹è¨å®šã§ã€ã“ã®ã¾ã¾ã§ã„ã„ã§ã™ã€‚
2行目ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ã®å—ã‘渡ã—ã«ã‚¯ãƒƒã‚ーã ã‘を使用ã™ã‚‹ï¼ˆURLã«åŸ‹ã‚è¾¼ã¾ãªã„)è¨å®šã§ã€ã“ã“㯠On ã«è¨å®šã—ãŸã„ã¨ã“ã‚ã§ã™ã€‚
3行目ã¯ã€ã‚¯ãƒƒã‚ーã‹ã‚‰ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒå–å¾—ã§ããªã‹ã£ãŸå ´åˆã«ã€ãƒšãƒ¼ã‚¸ä¸Šã® URL ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒåŸ‹ã‚è¾¼ã¾ã‚Œã‚‹è¨å®šã§ã™ã€‚ã“ã¡ã‚‰ã¯ Off ã«è¨å®šã—ãŸã„ã¨ã“ã‚ã§ã™ã€‚
session.use_cookies=On
session.use_only_cookies=Off
session.use_trans_sid=On
ã¨ã„ã†ã‚ã‘ã§ã€2行目ã¨3行目を変更ã—ã¾ã™ã€‚変更後ã¯ä»¥ä¸‹ã§ã™ã€‚
session.use_cookies=On
session.use_only_cookies=On
session.use_trans_sid=Off
wasbook ã‚’å†èµ·å‹•ã—ã¾ã™ã€‚
対ç–ãŒå‡ºæ¥ãŸã‹ã‚’確èªã™ã‚‹
å†åº¦ã€ãƒã‚°ã‚¤ãƒ³ã‹ã‚‰ãƒã‚°ã‚¢ã‚¦ãƒˆã¾ã§ã®ã‚·ãƒ¼ã‚±ãƒ³ã‚¹ã‚’確èªã—ã¾ã—ãŸã€‚主ãªå¤‰æ›´å†…容ã¯èµ¤å—ã§ç¤ºã—ã¦ã„ã¾ã™ã€‚
Bad Todoã®ãƒã‚°ã‚¤ãƒ³ã‹ã‚‰ãƒã‚°ã‚¢ã‚¦ãƒˆã¾ã§ï¼ˆæ”¹å–„後)
URL ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒå«ã¾ã‚Œãªããªã£ãŸã“ã¨ãŒç¢ºèªã§ãã¾ã—ãŸã€‚
ãŠã‚ã‚Šã«
今回ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã«ã¤ã„ã¦ç†è§£ã‚’æ·±ã‚ã¾ã—ãŸã€‚セッションID ㌠URL ã«åŸ‹ã‚è¾¼ã¾ã‚Œã¦ã„ã‚‹ã ã‘ã§ã¯æˆã‚Šã™ã¾ã™ã“ã¨ã¯é›£ã—ã„ã§ã™ãŒã€ä»–ã®æ”»æ’ƒæ–¹æ³•ã¨åˆã‚ã›ã¦è¡Œã†ã“ã¨ã§ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ãŒæ¼æ´©ã—ã¦ã—ã¾ã†ã‚±ãƒ¼ã‚¹ãŒã‚ã‚Šã¾ã™ã€‚
今回ã¯ã€Burp Suite ã®ãƒã‚´ã‚’使ã‚ã›ã¦ã„ãŸã ãã¾ã—ãŸã€‚ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚
最後ã«ãªã‚Šã¾ã—ãŸãŒã€ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã‚°ãƒ«ãƒ¼ãƒ—ã®ãƒ©ãƒ³ã‚ングã«å‚åŠ ä¸ã§ã™ã€‚
気楽ã«ãƒãƒãƒƒã¨ã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ðŸ™‡
今回ã¯ä»¥ä¸Šã§ã™ï¼
最後ã¾ã§ãŠèªã¿ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
