「ãƒãƒƒã‚ング・ラボã®ã¤ãã‚Šã‹ãŸ 完全版 仮想環境ã«ãŠã‘ã‚‹ãƒãƒƒã‚«ãƒ¼ä½“験å¦ç¿’ã€ã¨ã€Œä½“系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ 第2版 脆弱性ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–ã®å®Ÿè·µã€ï¼ˆé€šç§°ï¼šå¾³ä¸¸æœ¬ï¼‰ã‚’å‚考ã«ã€ã‚»ã‚ュリティã®å‹‰å¼·ã‚’進ã‚ã¦ã„ã¾ã™ã€‚
å‰å›žã¯ã€ä»¥å‰ ã«è¡Œã£ãŸ OWASP ZAP ã®è‡ªå‹•è„†å¼±æ€§ã‚¹ã‚ャンã®çµæžœã®ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)ã€ã«ã¤ã„ã¦ã€åˆ†æžã¨å¯¾ç–ã¾ã§ã‚„ã‚Šã¾ã—ãŸã€‚
今回ã¯ã€SQLインジェクションを見ã¦ã„ãã¾ã™ã€‚
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
å‚考文献
ã¯ã˜ã‚ã«
「セã‚ュリティã€ã®è¨˜äº‹ä¸€è¦§ã§ã™ã€‚良ã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ãã ã•ã„。
ã‚»ã‚ュリティã®è¨˜äº‹ä¸€è¦§
徳丸本ã®ç’°å¢ƒæ§‹ç¯‰ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬9回ã§ã‚„ã‚Šã¾ã—ãŸã€‚
daisuke20240310.hatenablog.com
ã¾ãŸã€å¾³ä¸¸æœ¬ãŒç”¨æ„ã—ã¦ãã‚Œã¦ã„ã‚‹ã€è„†å¼±ãªã‚¢ãƒ—リケーション Bad Todo ã®æº–å‚™ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬12回ã§ã‚„ã‚Šã¾ã—ãŸã€‚今回ã¯ã€ã“ã®ç’°å¢ƒã‚’使ã£ã¦ã‚„ã£ã¦ã„ãã¾ã™ã€‚
daisuke20240310.hatenablog.com
SQLインジェクションã®æ¤œå‡ºçµæžœã®ç¢ºèª
ã¾ãšã¯ã€è„†å¼±æ€§ã‚¹ã‚ャンã®æŒ‡æ‘˜å†…容を細ã‹ã見ã¦ã„ãã¾ã™ã€‚
SQLインジェクションã®è„†å¼±æ€§ã®åˆ†æžï¼ˆèªè¨¼å›žé¿ï¼‰
SQLインジェクションã®å…ˆé ã‹ã‚‰è¦‹ã¦ã„ãã¾ã™ã€‚1ã¤ç›®ã¯ã€Authentication Bypass ã¨ã‚ã‚Šã¾ã™ã€‚ãƒã‚°ã‚¤ãƒ³ã«ã¯èªè¨¼ãŒå¿…è¦ã§ã™ãŒã€ãれを回é¿ã§ãã‚‹ SQLインジェクションãŒæœ‰åŠ¹ã ã£ãŸã€ã¨ã„ã†ã“ã¨ã ã¨æ€ã„ã¾ã™ã€‚
SQLインジェクションã®èªè¨¼å›žé¿ã®æŒ‡æ‘˜
ãƒã‚°ã‚¤ãƒ³ç”»é¢ã® id ã®ã¨ã“ã‚ã«ã€ãƒ¦ãƒ¼ã‚¶ID を入力(daisuke)ã®ä»£ã‚ã‚Šã«ã€daisuke' AND '1'='1' -- を入力ã™ã‚‹ã¨ã€ãƒ‘スワードを入力ã—ãªãã¦ã‚‚ã€ãƒã‚°ã‚¤ãƒ³ã§ããŸã¨ã„ã†ã“ã¨ã§ã—ょã†ã‹ã€‚
指摘ã®2ã¤ç›®ã¯ã€1ã¤ç›®ã¨åŒã˜å†…容ã§ã—ãŸã€‚
指摘ã®3ã¤ç›®ã¯ã€åŒã˜å€‹æ‰€ã§ã™ãŒã€æ”»æ’ƒæ–¹æ³•ãŒé•ã†ã‚ˆã†ã§ã—ãŸã€‚対ç–内容ã¯åŒã˜ã«ãªã‚Šãã†ã§ã™ã€‚
SQLインジェクションã®ä»–ã®æŒ‡æ‘˜
SQLインジェクションã®è„†å¼±æ€§ã®å†ç¾ï¼ˆèªè¨¼å›žé¿ï¼‰
ã¾ãšã¯ã€è©¦ã—ã¦ã¿ã¾ã™ã€‚ユーザID ã«ã¯æ”»æ’ƒã®æ–‡å—列を入力ã—ã¦ã€ãƒ‘スワードをé©å½“ãªæ–‡å—列を入れã¦ã€ãƒã‚°ã‚¤ãƒ³ã—ã¦ã¿ã¾ã™ã€‚
攻撃文å—列を入力ã—ã¦ãƒã‚°ã‚¤ãƒ³
ã†ã¾ãã„ã£ã¦ãªã„æ°—ãŒã—ã¾ã™ã€‚
攻撃失敗
logindo.php ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã‚’確èªã—ã¾ã™ã€‚SQLæ–‡ãŒ2回実行ã•ã‚Œã¦ã„ã¾ã™ã€‚ã“ã®2回をã†ã¾ãã‚„ã‚‹ã¨ãƒã‚°ã‚¤ãƒ³ã§ããã†ã§ã™ã€‚
<?php
require_once './common.php';
if (! isset($_POST['userid']) || ! isset($_POST['pwd']) || ! isset($_POST['url'])) {
exit;
}
try {
$dbh = dblogin();
$userid = filter_input(INPUT_POST, 'userid');
$pwd = substr($_POST['pwd'], 0, 6);
$url = filter_input(INPUT_POST, 'url');
$sql = "SELECT id, userid FROM users WHERE userid='$userid'";
$sth = $dbh->query($sql);
$row = $sth->fetch(PDO::FETCH_ASSOC);
$sth = null;
if (! empty($row)) {
$sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'";
$sth = $dbh->query($sqlstm);
$row = $sth->fetch(PDO::FETCH_ASSOC);
if (! empty($row)) {
$_SESSION['login'] = true;
$user = new User($row['id'], $userid, $row['super']);
setcookie('USER', serialize($user), 0, '/');
header('Location: ' . $url . '?' . SID);
} else {
e("パスワードãŒé•ã„ã¾ã™");
exit;
}
} else {
e("ãã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã¯ç™»éŒ²ã•ã‚Œã¦ã„ã¾ã›ã‚“");
exit;
}
} catch (PDOException $e) {
die('接続ã«å¤±æ•—ã—ã¾ã—ãŸ: ' . $e->getMessage());
}
?>
以下ã®2æ–‡ã§ã™ã€‚攻撃㯠daisuke' AND '1'='1' -- ã§ã™ã€‚
<?php
$sql = "SELECT id, userid FROM users WHERE userid='$userid'";
$sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'";
ã¾ãšã€æ”»æ’ƒã§ä½¿ã‚ã‚Œã¦ã„ã‚‹ -- ã¯ã€SQLã§ã¯ã‚³ãƒ¡ãƒ³ãƒˆã®é–‹å§‹ã‚’æ„味ã—ã¾ã™ã€‚以é™ã‚’無視ã•ã›ãŸã„ã¨ã„ã†ã‚ã‘ã§ã™ã€‚
ã¤ã¾ã‚Šã€ãƒ‘スワードã®ã¨ã“ã‚をコメントアウトã—ã¦ã€ä»£ã‚ã‚Šã« AND '1'='1' を入れã¦ãŠãã¨ã„ã†ã“ã¨ã®ã‚ˆã†ã§ã™ã€‚
ã—ã‹ã—ã€æ”»æ’ƒã¯ã†ã¾ãã„ã£ã¦ã„ã¾ã›ã‚“。ã ã„ã¶æ‚©ã‚“ã ã®ã§ã™ãŒã€åˆ†ã‹ã‚Šã¾ã—ãŸã€‚攻撃ã—ãŸã¨ãã€ãƒ–ラウザã«ã‚¨ãƒ©ãƒ¼ãŒè¡¨ç¤ºã•ã‚Œã¦ã„ã¾ã™ã€‚ã“ã‚Œã¯æ–‡æ³•ã‚¨ãƒ©ãƒ¼ãŒå‡ºã¦ã—ã¾ã£ã¦ã„ã¾ã™ã€‚ã“れを解消ã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚
ã§ã¯ã€ã©ã“ã«å•é¡ŒãŒã‚ã‚‹ã®ã‹ã¨ã„ã†ã¨ã€SQL ã®ã‚³ãƒ¡ãƒ³ãƒˆã¯ã€-- ã®å¾Œã«åŠè§’スペースãŒå¿…è¦ã‚‰ã—ã„ã§ã™ï¼ˆMySQL ã ã‘らã—ã„?)。知らんãŒãªã€ã¨è¨€ã„ãŸããªã‚‹ã‚ˆã†ãªå†…容ã§ã™ãŒã€ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã‚’扱ã†ã«ã¯å¸¸è˜ãªã‚“ã§ã—ょã†ã‹ã€ã ã„ã¶æ™‚é–“ãŒã‹ã‹ã£ã¦ã—ã¾ã„ã¾ã—ãŸã€‚
ã§ã¯ã€æ°—ã‚’å–ã‚Šç›´ã—ã¦ã€daisuke' AND '1'='1' -- ã§ã€æ”»æ’ƒã‚’è¡Œã„ã¾ã™ã€‚見ãŸç›®ãŒä¸€ç·’ãªã®ã§åˆ†ã‹ã‚Šã«ãã„ã§ã™ãŒã€-- ã®å¾Œã«ã€åŠè§’スペースを入れã„ã¦ã„ã¾ã™ã€‚
攻撃文å—列(改)を入力ã—ã¦ãƒã‚°ã‚¤ãƒ³
é©å½“ãªãƒ‘スワードã§ã€ãƒã‚°ã‚¤ãƒ³ã§ãã¾ã—ãŸã€‚ユーザåãŒå¤‰ãªè¡¨ç¤ºã«ãªã£ã¦ã„ã¾ã™ãŒã€æ™®é€šã«æ“作ã§ãã¾ã™ã€‚自分ã®ä½œã£ãŸ Todo を削除ã—ã¦ã¿ã‚‹ã¨ã€æ™®é€šã«å‰Šé™¤ã§ãã¾ã—ãŸã€‚
攻撃文å—列(改)ã§ãƒã‚°ã‚¤ãƒ³ã§ããŸ
SQLインジェクションã®è„†å¼±æ€§ã®å¯¾ç–(èªè¨¼å›žé¿ï¼‰
ãã‚Œã§ã¯å¯¾ç–を考ãˆã¦ã„ãã¾ã™ã€‚
SQLインジェクションã®å¯¾ç–ã¯ã€ãƒ—レースホルダを使ãˆã°ã„ã„ã¨ã®ã“ã¨ã§ã™ã€‚
プレースホルダã«ã¯ã€é™çš„プレースホルダã¨å‹•çš„プレースホルダãŒã‚ã‚Šã€å¾³ä¸¸æœ¬ã§ã¯ã€å‹•çš„プレースホルダã§ã‚‚ã€SQLインジェクションã¯å¯¾ç–ã§ãã‚‹ãŒã€é™çš„プレースホルダを推奨ã—ã¦ã„ã¾ã—ãŸã€‚
é™çš„プレースホルダã¯å®Ÿè£…ãŒå¢—ãˆã‚‹ã®ã§ã€ä»Šå›žã¯å‹•çš„プレースホルダã§å¯¾ç–ã‚’è¡Œã„ãŸã„ã¨æ€ã„ã¾ã™ã€‚
2æ–‡ã‚ã‚‹ SQLæ–‡ã®ã†ã¡ã€æœ€åˆã® SQLæ–‡ã®å¯¾ç–ã§ã™ã€‚ã¾ãšã€å¯¾ç–å‰ã§ã™ã€‚
<?php
$sql = "SELECT id, userid FROM users WHERE userid='$userid'";
$sth = $dbh->query($sql);
$row = $sth->fetch(PDO::FETCH_ASSOC);
$sth = null;
次ã«ã€å¯¾ç–後ã§ã™ã€‚? ãŒãƒ—レースホルダã§ã€SQL文を確定ã•ã›ãŸå¾Œã«ã€bindValue() ã§ã€å€¤ã‚’è¨å®šã™ã‚‹ã®ã§ã€å®‰å…¨ã¨ã„ã†ã“ã¨ã‚‰ã—ã„ã§ã™ã€‚プレースホルダを使ã£ãŸå ´åˆã€ãªãœã‹ã€query() ã§ã‚¨ãƒ©ãƒ¼ãŒå‡ºã‚‹ã‚ˆã†ã«ãªã£ãŸã®ã§ã€prepare() 㨠execute() を使ã†æ–¹ã«å¤‰æ›´ã—ã¾ã—ãŸã€‚
<?php
$sql = $dbh->prepare("SELECT id, userid FROM users WHERE userid = ?");
$sql->bindValue(1, $userid, PDO::PARAM_STR);
$sql->execute();
$row = $sql->fetch(PDO::FETCH_ASSOC);
$sql = null;
続ã„ã¦ã€ã‚‚ã†1ã¤ã® SQLæ–‡ã§ã™ã€‚ã¾ãšã€å¯¾ç–å‰ã§ã™ã€‚
<?php
$sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'";
$sth = $dbh->query($sqlstm);
$row = $sth->fetch(PDO::FETCH_ASSOC);
次ã«ã€å¯¾ç–後ã§ã™ã€‚bindValue() ã®ç¬¬1引数ã¯ã€ä½•ç•ªç›®ã®ãƒ—レースホルダã‹ã‚’指定(1始ã¾ã‚Šï¼‰ã§ã€ç¬¬2引数ãŒå¤‰æ•°ã€ç¬¬3引数ãŒå¤‰æ•°ã®åž‹ã§ã™ã€‚
<?php
$sqlstm = $dbh->prepare("SELECT id, userid, super FROM users WHERE userid = ? AND pwd = ?");
$sqlstm->bindValue(1, $userid, PDO::PARAM_STR);
$sqlstm->bindValue(2, $pwd, PDO::PARAM_STR);
$sqlstm->execute();
$row = $sqlstm->fetch(PDO::FETCH_ASSOC);
ã¨ã‚Šã‚ãˆãšã®å¯¾ç–ã¯å‡ºæ¥ãŸã¨æ€ã„ã¾ã™ã€‚普通ã«å‹•ä½œã™ã‚‹ã“ã¨ã‚’確èªã—ã¾ã—ãŸã€‚
logindo.php ã®ä¿®æ£ç‚¹ã‚’è²¼ã£ã¦ãŠãã¾ã™ã€‚
--- todo.org/logindo.php 2018-08-15 15:29:23.000000000 +0900
+++ todo.change/logindo.php 2024-08-15 17:12:00.000000000 +0900
@@ -1,20 +1,27 @@
<?php
require_once './common.php';
+ if (! isset($_POST['userid']) || ! isset($_POST['pwd']) || ! isset($_POST['url'])) {
+ exit;
+ }
try {
$dbh = dblogin();
$userid = filter_input(INPUT_POST, 'userid');
$pwd = substr($_POST['pwd'], 0, 6);
$url = filter_input(INPUT_POST, 'url');
- $sql = "SELECT id, userid FROM users WHERE userid='$userid'";
- $sth = $dbh->query($sql);
- $row = $sth->fetch(PDO::FETCH_ASSOC);
- $sth = null;
+ $sql = $dbh->prepare("SELECT id, userid FROM users WHERE userid = ?");
+ $sql->bindValue(1, $userid, PDO::PARAM_STR);
+ $sql->execute();
+ $row = $sql->fetch(PDO::FETCH_ASSOC);
+ $sql = null;
if (! empty($row)) {
- $sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'";
- $sth = $dbh->query($sqlstm);
- $row = $sth->fetch(PDO::FETCH_ASSOC);
+ $sqlstm = $dbh->prepare("SELECT id, userid, super FROM users WHERE userid = ? AND pwd = ?");
+ $sqlstm->bindValue(1, $userid, PDO::PARAM_STR);
+ $sqlstm->bindValue(2, $pwd, PDO::PARAM_STR);
+ $sqlstm->execute();
+ $row = $sqlstm->fetch(PDO::FETCH_ASSOC);
if (! empty($row)) {
+ error_log("row[id]=" . $row['id'] . ", row[super]=" . $row['super']);
$_SESSION['login'] = true;
$user = new User($row['id'], $userid, $row['super']);
setcookie('USER', serialize($user), 0, '/');
自動脆弱性スã‚ャンã®å†å®Ÿè¡Œ
ã§ã¯ã€å¯¾ç–ã—ãŸã®ã§ã€è‡ªå‹•è„†å¼±æ€§ã‚¹ã‚ャンをå†å®Ÿè¡Œã—ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
SQLインジェクションã®èµ¤ãƒ•ãƒ©ã‚°ã¯ç„¡ããªã‚Šã¾ã—ãŸã€‚赤ã®ãƒ•ãƒ©ã‚°ã¯ãƒªã‚¹ã‚¯é«˜ã§ã™ãŒã€ã‚ã¨3ã¤ã«ãªã‚Šã¾ã—ãŸã€‚ã†ã¡ã€2ã¤ã¯ã‚ˆã分ã‹ã‚‰ãªã„ã®ã§ã€ã‚ã¨ã¯ã€External Redirect ã ã‘ã§ã™ã€‚
自動脆弱性スã‚ャンã®å†å®Ÿè¡Œã®çµæžœ
External Redirect ã¯ã€å¾³ä¸¸æœ¬ã§ã¯ã€ã‚ªãƒ¼ãƒ—ンリダイレクト脆弱性ã¨ã—ã¦èª¬æ˜Žã•ã‚Œã¦ã„ã¾ã™ã€‚ã“ã¡ã‚‰ã®å¯¾ç–ã¯æ¬¡å›žã¨ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚
ãŠã‚ã‚Šã«
今回ã¯ã€SQLインジェクションã®è„†å¼±æ€§ã«ã¤ã„ã¦ã€å†ç¾ã¨å¯¾ç–ã‚’è¡Œã„ã¾ã—ãŸã€‚今回ã¯ã™ã£ãã‚Šã¨æŒ‡æ‘˜ãŒæ¶ˆãˆã¦ãã‚Œã¦è‰¯ã‹ã£ãŸã§ã™ã€‚
次回ã¯ã€ã‚ªãƒ¼ãƒ—ンリダイレクトを見ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚
今回㯠wasbook ã§ä½¿ã‚ã‚Œã¦ã„ã‚‹ MySQL ã®ãƒã‚´ã‚’使ã‚ã›ã¦ã„ãŸã ãã¾ã—ãŸã€‚ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚
最後ã«ãªã‚Šã¾ã—ãŸãŒã€ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã‚°ãƒ«ãƒ¼ãƒ—ã®ãƒ©ãƒ³ã‚ングã«å‚åŠ ä¸ã§ã™ã€‚
気楽ã«ãƒãƒãƒƒã¨ã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ðŸ™‡
今回ã¯ä»¥ä¸Šã§ã™ï¼
最後ã¾ã§ãŠèªã¿ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
