Webアプリのセキュリティ ここが危ない!!便利サイト SSE・エスシー・コムテクス・カンパニー セキュリティ技術部 部長 二木 真明 Sumisho Electronics Co., Ltd. All right reserved. 1 Agenda Web サイトの構造 従来のWebセキュリティとその問題点 Web アプリケーションに潜む脆弱性 Hidden パラメータの危険性 不正文字入力の影響 クロスサイトスクリプティング SQLインジェクション セッションIDとCookie Webサイトを守るには Sumisho Electronics Co., Ltd. All right reserved. 2 従来のWebセキュリティ Webサーバのセキュリティ サーバの要塞化 セキュリティパッチの適用 ウイルス対策 アクセスログの監視 ネットワークのセキュリティ ファイアウォールによる保護(DMZへの配置) IDS (侵入検知システム)による監視 Sumisho Electronics Co., Ltd. All right reserved. 3 Webサイトの構造 最近のWebサイト クライアント Web サーバ 動的ページの多用 サーバサイド処理 データベース連携 動的ページ (アプリケーション) 固定ページ (ファイル) アプリケーション サーバ データベース Sumisho Electronics Co., Ltd. All right reserved. 4 状況の変化 Webアプリケーションの高度化 対話型アプリケーションの増加 動的生成ページを多用 データベース連携 Webサービスの一般化 重要情報の取り扱い 重要業務への利用 Sumisho Electronics Co., Ltd. All right reserved. 5 従来型セキュリティの問題点 プラットホームの保護が主体 サーバOSやWebサーバソフトウエアに対する 攻撃を想定 アプリケーションそのものの脆弱性を考慮して いない Sumisho Electronics Co., Ltd. All right reserved. 6 アプリケーションの脆弱性 アプリケーション=ソフトウエア バグ(プログラムミス)は不可避 セキュリティの観点から見た仕様の不備の可能性 想定外の使用法(異常なデータ入力)を考慮していな い可能性 アプリケーション脆弱性のリスク 重要データの流出または破壊、改竄の可能性 サービスの停止・妨害の可能性 詐欺的行為の可能性 Sumisho Electronics Co., Ltd. All right reserved. 7 Webアプリケーションの特徴 動的ページ生成 フォーム等でのデータ入力 処理結果をHTML等に埋め込んで出力 プラットホーム非依存、軽量 Webブラウザ上での処理 クライアントの機種・OSを選ばない ブラウザは選ぶ・・・可能性ありだが クライアントの負荷が低い Sumisho Electronics Co., Ltd. All right reserved. 8 Webアプリケーションの特徴 認証とセッション管理の構築が必要 HTTP は1ページ(表示)単位で完結するプロ トコル(セッションの概念がない) ユーザ認証と複数ページによる処理順序の管 理はアプリケーションの責任 アプリケーション(プログラム)がページ(処理) 単位で完結するため、認証情報と処理順序は ユーザ(ブラウザ)を介して引き継ぐ必要があ る Sumisho Electronics Co., Ltd. All right reserved. 9 アプリケーションへの攻撃 隠しパラメータ/既定値の改竄 Web フォームへの不正データ入力 クッキー盗用、改竄 セッションIDの盗用、改竄 バッファオーバフロー Sumisho Electronics Co., Ltd. All right reserved. 10 隠し(Hidden)パラメータ Webフォームに含まれる「表示されない」値 サーバからフォームの一部として送信される。 ブラウザ表示上では、参照、変更は不可 フォーム送信時にサーバにそのまま返送され、 フォームの識別などに使用される。 隠しパラメータの確認方法 ブラウザ上でのソース表示 ブラウザ以外のツールによるアクセス Sumisho Electronics Co., Ltd. All right reserved. 11 隠しパラメータの利用 ユーザの識別(セッションID) 認証情報をページ間で引き継ぎ 処理順序やフォームの識別 ページ間の情報受け渡し Sumisho Electronics Co., Ltd. All right reserved. 12 隠しパラメータの受け渡し Webアプリケーション <input type=hidden name=“seq” value=“1”> <input type=hidden name=“seq” value=“2”> num=1 ページ1 <input type=hidden name=“seq” value=“3”> num=3 num=2 ページ2 Sumisho Electronics Co., Ltd. All right reserved. ページ3 13 既定値パラメータ ドロップダウンリスト、ラジオボタン、チェッ クボックスなど、選択時に送信される値 隠しパラメータ同様にHTMLに埋め込まれ、 選択された項目を識別するために使用 <input type=radio name=“radio-button-1”> <option value=“opt1”>選択肢1 <option value=“opt2”>選択肢2 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・ </input> 選択肢1 選択肢2 ・・・・ ・・・・ Sumisho Electronics Co., Ltd. All right reserved. 14 パラメータ改ざんへの対応 既定値パラメータといえども、入力のチェッ クを必ず行うこと。(不正値の排除) 特殊な処理(管理機能などの特権処理な ど)を判断する場合は、必ず認証機能と併 用すること。 可能ならばパラメータを暗号化しておくこと。 Sumisho Electronics Co., Ltd. All right reserved. 15 Webフォームへの不正データ入力 想定外の入力の悪影響 入力が処理結果ページ内に反映される場合 入力を使用してデータベース検索を行う場合 表示やブラウザ上での処理に影響 検索条件等に影響 入力を使用して各種コマンドを起動する場合 実行内容に影響 Sumisho Electronics Co., Ltd. All right reserved. 16 出力ページへのタグ混入 入力データにHTMLタグを混入したら チェックしていないと結果ページに出力される 書式やページ構成を意図的に改変 不正なスクリプトなどを混入 他のWebサイトへの誘導 ....などなど 隠しフィールドに対しても実行できる 隠しフィールドに与えた既定値を処理に使用し ているケースは要注意 Sumisho Electronics Co., Ltd. All right reserved. 17 クロスサイトスクリプティング (XSS/CSS) Bad.jsを読み込んで実行 悪意のサイト Web ブラウザ 処理結果 xxxxxxxxxxx <HTML> ………………………. ……..<script src=“http://.. ></script> ………………. </HTML> yyyyyyyyyyyy 入力 善意のWebアプリ <script type=javascript src=http://badsite.co.jp/bad.js> </script> Sumisho Electronics Co., Ltd. All right reserved. 18 データベース検索条件の不正操作 入力データを検索処理のSQL文の一部に 組み込んで使用している場合 入力データに不正な記号などを混入すること で検索条件を操作できる場合がある User 入力1 Pass 入力2 select * from user-table where user=“入力1” and password=“入力2”; Sumisho Electronics Co., Ltd. All right reserved. 19 SQLインジェクションの例 User futagi” ; -- Pass ********* select * from user-table where user=“futagi” ; -- ” and password=“password”; 問い合わせ条件をここで閉じられてしまう。 コメントアウトされてしまう *結果として、パスワードに関係なく問い合わせが成功してしまう。 Sumisho Electronics Co., Ltd. All right reserved. 20 シェルコマンドの実行 表示ファイル名入力 名称 #!/bin/sh ********* ブラウザ ファイルの内容 xxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxx ($name に入力を読み込み) ………………… echo “<HTML>”; echo “<BODY>”; echo “<H1>ファイルの内容</H1>”; echo “<PRE>”; cd /usr/docdir; cat $name; echo “</PRE>”; echo “<P>以上</P>” echo “</BODY></HTML>”; 以上 Sumisho Electronics Co., Ltd. All right reserved. 21 コマンド処理の悪用 表示ファイル名入力 名称 #!/bin/sh /etc/passwd ブラウザ ファイルの内容 root:x:0:10:root user:/:.. ……………. 以上 ($name に入力を読み込み) ………………… echo “<HTML>”; echo “<BODY>”; echo “<H1>ファイルの内容</H1>”; echo “<PRE>”; cd /usr/docdir; cat $name; echo “</PRE>”; echo “<P>以上</P>” echo “</BODY></HTML>”; Sumisho Electronics Co., Ltd. All right reserved. 22 不正入力の防止 <>;“‘といった記号の入力からの排除 結果ページへの出力の際のタグ関連文字 の無効化(エスケープ処理) 検索文字列作成時の不正文字排除もしく はエスケープ処理 Hidden 、固定値パラメータにも一般の入 力と同様のチェックを行うか、改ざんチェッ クを必ず行うこと。 Sumisho Electronics Co., Ltd. All right reserved. 23 セッション管理 セッションとは ログイン(最初の接続)からログアウト(使用終 了)までの一連の作業の流れ 1セッション ログイン 作業1 作業2 作業3 ・・・・・・・・・・・・ ログアウト Webアプリケーション Sumisho Electronics Co., Ltd. All right reserved. 24 セッション管理の方法 セッションIDの受け渡し 認証時に、ユーザ情報とセッション情報をクラ イアント側に引き渡し、ログアウトまでの間、ク ライアントからの送信データに必ず含まれるよ うにする。 受け渡し方法 Hidden パラメータを使う方法 Cookie を使う方法 Sumisho Electronics Co., Ltd. All right reserved. 25 Cookie とは サーバからブラウザに埋め込む小さな データ 一旦埋め込むと、以後、そのサーバへのリク エストには必ずそのCookieが添付される 認証、セッション管理目的のほか、サイトのア クセス履歴の収集などの目的でも使用される Sumisho Electronics Co., Ltd. All right reserved. 26 Cookie受け渡しの例 1セッション ログイン 作業1 認証 Cookie生成 Cookie: SessionーID=A9xYNml3z 作業2 Cookie 確認 作業3 Cookie 確認 ・・・・・・・・・・・・ Cookie 内容無効化 Cookie 確認 Webアプリケーション ログアウト Cookie: SessionーID=xxxxxxx Sumisho Electronics Co., Ltd. All right reserved. 27 セッションIDの保護 セッションIDに関して生じうる危険性 セッションIDの解読(ユーザ、パスワード盗用) セッションID改ざんによる不正アクセス セッションIDそのものの盗用によるセッション乗っ取り 保護方法 セッションIDの暗号化、改ざん検知機構の導入 セッションIDに対する有効期限の設定 セッションIDへのクライアントホスト識別情報の付加 .... etc Sumisho Electronics Co., Ltd. All right reserved. 28 Cookie使用時の保護対策 SSL と Secure Mode Cookie の使用 通信盗聴対策(Cookie 盗聴によるセッション 乗っ取りなどに対する保護) Secure Mode Cookie: 暗号化されていない経路への Cookie 送信を禁止するモード Sumisho Electronics Co., Ltd. All right reserved. 29 Webアプリケーション開発サイクル 導入・運用 総合テスト 単体テスト 監査・見直し バグ 製作(修正) 設計上の問題 設計(修正) 企画 Sumisho Electronics Co., Ltd. All right reserved. 30 基本としての考え方 アプリケーション脆弱性排除はソフトウエア エンジニアリングの課題 設計者、製作者に対する教育 開発過程におけるセキュリティの観点からの 品質保証の導入 セキュリティ専門担当者による監査 Sumisho Electronics Co., Ltd. All right reserved. 31 アプリケーション脆弱性と開発サイクル 従来の開発工程に加え、脆弱性の検査工 程が必要 セキュリティの観点からの設計レビュー 総合試験過程での脆弱性検査 セキュリティを考慮することによる課題 開発、テスト期間・工数の増加 開発済み、運用中のアプリケーションの取り扱 い Sumisho Electronics Co., Ltd. All right reserved. 32 ありがちな問題 総合試験で脆弱性がみつかった 設計上の問題に依存していて、改修に時間が かかる リリース期限が迫っている・・・ Sumisho Electronics Co., Ltd. All right reserved. 33 ありがちな問題 既に運用中のアプリケーションが脆弱性を 内包している可能性 検査を行うことが必要だが運用への影響が心 配 見つかった脆弱性を修正したいが、開発元と のコミュニケーションが難しい。またはエンジニ アを確保できない。 開発元が修正を行ったが、動作をすべて確認 するまでリリースしたくない Sumisho Electronics Co., Ltd. All right reserved. 34 現実的な対応 脆弱性はなくならない? ソフトウエアの宿命(バグ) 脆弱性改修に時間と手間がかかる 脆弱性を隠蔽できるようなシステムの導入に よる時間稼ぎ(アプリケーションファイアウォー ル) あくまで時間稼ぎ・・・にしておきたいが・・・・・ Sumisho Electronics Co., Ltd. All right reserved. 35 アプリケーションファイアウォール Webアプリケーションなど、一般のアプリ ケーションプロトコルさらに上位にあるカス タムアプリケーション保護を目的とするファ イアウォール。 Layer 7 ではない!!! 強いて言うならば、Layer≧8 Sumisho Electronics Co., Ltd. All right reserved. 36 プロトコル階層とソフトウエア階層 コンピュータソフトウエアの階層 ユーザアプリケーション プロトコル階層(OSI) アプリケーションサーバ 7:アプリケーション層 Web サーバ アプリケーション ファイアウォール 6:プレゼンテーション層 5:セッション層 4:トランスポート層 オペレーティングシステム 侵入検知・防御システム 3:ネットワーク層 2:データリンク層 デバイスドライバ ハードウエア ファイアウォール 1:物理層 Sumisho Electronics Co., Ltd. All right reserved. 37 WebアプリケーションF/W フォームフィールドに対する不正入力の チェック(不正な記号入力、データあふれ) 隠しフィールド、既定値改ざんのチェック 特定ページへの直接アクセスの制限 Cookieの保護 ・・・・など・・・・・・・ Sumisho Electronics Co., Ltd. All right reserved. 38 アプリケーションF/Wの配置と動作 Internet Router ・自分自身が、外部から見た場合にサーバとして振る舞う。(リバースプロキシサーバの動作) ・一旦受け取ったリクエストを検査してからWebサーバに引き渡し ・サーバからクライアントに引き渡すデータを記憶して、リクエストの検査に利用 ー隠しフィールドの改ざんチェック ーリンクの学習 など ・Cookie の暗号化、改ざん防止など DMZ=緩衝セグメント NW-FW App-FW Webサーバ メールサーバ 内部ネットワーク Sumisho Electronics Co., Ltd. All right reserved. 39 アプリケーションF/Wは必要か? セキュアなアプリばかりなら不要になる? そう望みたい・・・・けれど現実は・・・・・ 少しばかりの脆弱性のために導入する? サービスの重要度によって答えは異なる。 製品にその他の付加価値があれば・・・・ ロードバランサー機能 SSLアクセラレーション機能 仮想Webサイトのサポート ボトルネックにならなきゃいいけど・・・・・ 当然ながら、性能は重視・・・・ Sumisho Electronics Co., Ltd. All right reserved. 40 結論 次のセッションを聞いて考えましょう・・・・・ ご静聴ありがとうございました。 Copyright (C) Sumisho Electronics / SC-Comtex Company All right reserved. 原則として、無断使用、転載を禁止します。 コピー、再配布について全体を無修正で行う場合はこの限りではありません。 Sumisho Electronics Co., Ltd. All right reserved. 41
© Copyright 2025 ExpyDoc
