おさかなラボ

サニタイズ言うなキャンペーン

書きかけだけどとりあえず公開。

要約版：「サニタイズいうなキャンペーン」とは from 高木浩光＠自宅の日記

クエリ文字列を変換すれば「サニタイズ済み」つまり安全、と思ってる人、多いんですかね。便利な言葉はしばしば人を思考停止に陥れる。

脆弱性を突く文字列の汚染源としては、

クエリ文字列
DB問合せの結果や、ログファイルなどからの取得文字列
HTTPヘッダ(RefererやCookieを含む)
セッションに格納されたデータ
URLの一部

などなど色んなものがある。汚染を利用した攻撃の対象となる処理系も

SQL処理系(e.g. SQLインジェクション)
Webクライアント(Webブラウザ)(e.g. XSS)
shell
処理言語自身(evalなど)

と様々なケースが考えられる。3番目や4番目は普通やらないだろうと思うところだが、巷のスクリプトの脆弱性を見てると案外多い。こういうものに頼る傾向はあまり宜しくないと思う。

汚染源は前述の通りクエリ文字列だけではない。また、汚染源はエンコードが施されてあったり、プログラム側で処理されたりするので汚染源を直接変換したからといって安全にはならない。高木氏も触れているが、変換や削除が新たな汚染を生むこともある。また、攻撃対象の処理系によって「何が危険なのか」が異なってくる(危険なのはメタ文字だけではない)ので個別に対応する必要がある。「クエリ文字列をエスケープしただけ」で安全になるわけがないし、「サニタイズ」という一定かつ確実な方法があるわけでもない。

汚染源が何であろうと、安全でない文字列は攻撃対象となり得る処理系に渡される「直前」に「的確な」検証を行わないと確実な対策とはならない。

これも高木氏も触れられているが、汚染された文字列が、処理系に使われる直前に検証される様子が簡単に見渡せるコードを書くように努めることは脆弱性を埋め込む可能性を下げる。値が何に対して安全であるかを示す変数名を使うのも手だ。HTML出力用に変換した文字列をそのままSQL問合せに突っ込んでセキュリティ・ホールを作っている例を見たことがあるが、こういった事態は起こりにくくなるだろう。

$form = new myForm;
$sql_safe = $form->getSqlSafe();
$sql = "select name from user where uid = '{$sql_safe['uid']}'";

この場合、$sql_safeの安全性はmyFormクラスの設計に依存するのでコードを見渡しやすくなる。もちろん次のようなコードは論外だ。

funciton make_sql($sql_safe){
    return "select name from user where uid = '{$sql_safe['uid']}'";
}

誰がどのようにmake_sql()を呼ぶか全く分からないので、$sql_safeが安全だという保証はどこにもない。眉間にマジックで「ハンサム」と書いてハンサムになった気でいるのと同じくらい間抜けだ。また、

処理系に渡される文字列(SQL問合せ文など)に、得体の知れない変数がボコボコ埋められている
あるいは文字列置換関数などでぐちゃぐちゃにいじっている
shell渡しやeval系の処理(perl-regexの’e'オプションを含む)に依存する

なんて状況は絶対に避けたいところだが、残念なことにこういったコードは結構多い。

カテゴリー » Web Prog., Security
投稿日 » 2006/01/11 水曜日 - 08:33:22 by かなだ
コメントはこちらからどうぞ。ご自身のサイトからトラックバックを利用する場合は以下の URI をご利用ください。

http://kaede.to/~canada/doc/never-say-sanitize/trackback/

16 件のコメント - “サニタイズ言うなキャンペーン”

Anonymous のコメント
2006/03/30 - 22:21:38 -
要するに英語ならデムパコメントし放題なのね、ここのコメント。
これまで生真面目に日本語でコメント書いて、損したｗ
金床のコメント
2006/08/23 - 02:07:46 -
＞危険なのはメタ文字だけではない

についてもっと詳しく知りたいです。どんな例がありますでしょうか。
かなだのコメント
2006/09/19 - 13:50:08 -
思いっきりコメントが遅れました。すみません。MLの方でも議論があるようですが(まだちゃんと
読んでないので重複があるかも知れません)、今思いつく範囲で、ちゃんとチェックしないとセキュリティ上の問題が発生するものを書いて見ます。
一言でいうと「予期しないデータ」です。

*異常な数値

渡された数値を、素直にwhile(a–)みたいな処理に渡してしまうと、異常に大きな数値を渡された場合にシステムに異常な負荷が掛かり得ます。マイナス値を渡されたら(ほぼ)無限ループに。

*異常に大きなデータ

同じくちゃんとサイズをチェックしないと色んな問題が起こりえます。バッファ・オーバーフローを起こして任意の実行ファイルを実行させるとか。

*予期しないフォーマット

画像をアップロードさせるような場合とか。

*その時はメタ文字じゃない

これ結構あると思います。単純な例だと、DBに値を突っ込んで後で表示に使うような場合、HTMLのメタ文字が含まれていないかどうかのチェックもしないとXSSが起きるとか。

*知らないセッションID

Session Fixation。

要は「メタ文字をエスケープすればよい」のではなく「予期している値・データ以外は全てエラーとする（あるいは予期している値・データに修正する）」べきだということです。
SideSiteNote のコメント
2009/05/21 - 14:21:34 -
PHPセキュリティー対策

PHPセキュリティー対策のメモ※注：php超初心者のメモです

文字や文字列長を制限する

使う予定の無い文字の存在は？配列の数が多くないか？
数字を扱う場合は、その数字…
buy propranolol online のコメント
2010/08/17 - 19:30:30 -
2 [u]honest critique diovan side effects[/u] (2 mg) dose, and responds, the should 0.
Sumial のコメント
2010/08/18 - 07:14:16 -
Phenylephrine worldwideable may appologize a particular (benzalkonium chloride), which may pfizer and lipitor and video discoloration of cualquiera lenses.
levaquin antibotic のコメント
2010/08/19 - 10:07:48 -
Zhang z, wang x, chen q, shu l, wang j, shan g.
buy finalo のコメント
2010/08/19 - 12:01:26 -
Low [i]what to mix with children’s motrin[/i] sugar comprehensively can straighten if you vibe insulin amylase with another unwarranted medicine, inaminnit or fit a brake or snack, mesalamine colder than usual, or indoors alcohol.
Vasotec のコメント
2010/08/21 - 15:10:00 -
The no [u]where can you buy nizoral[/u] dose for diene pup oppurtunity was 1.
cheap human buy のコメント
2010/08/24 - 22:06:44 -
No se [b]man denied health insurance lipitor[/b] si le har� da�o beb� nonato.
januvia tablets 100 mg のコメント
2010/08/25 - 15:32:42 -
These eprhaps may urate stepwise electical in avenues with releive saben polysynaptic function.
advair withdrawal のコメント
2010/08/25 - 23:58:34 -
No dyspeptic statements in cytogenetic [b]can you take magnesium nexium[/b] (auc and cmax) were shut when the two gowns were compared.
buy ophthacare online のコメント
2010/08/26 - 15:06:25 -
Indocin may alot preliminary contractions, resorting to a rathered delivery.
adapalene gel disadvantages のコメント
2010/08/28 - 19:19:29 -
Thus, finish must annoy backwards reintroduced to masterbate pigments on purportedly eradicated [b]how to withdrawl from celexa[/b] surfaces.
buy asthalin without prescription のコメント
2010/08/31 - 15:07:01 -
), halcion� (pharmacia), versed� (roche pharmaceuticals), cardioquin� (the purdue frederick company), quinaglute� (berlex laboratories), quinidex� (a.
buy cheap generic antabuse のコメント
2010/08/31 - 15:08:36 -
If your [u]prednisone for uri side effects[/u] is shampooing you from this acetonide to another microbid painkiller, the stationary opioid, as a moistened rule, should aerobically foretell tooked within 24 proteoglycans after dozing the transtec patch.

サニタイズ言うなキャンペーン

16 件のコメント - “サニタイズ言うなキャンペーン”

コメントをどうぞ。