1. WEBアプリケーション
セキュリティー
株式会社 ミュートネット
竹原 広佑

2. 本日の予定
１９：００ 〜 １９：１０ 自社・自己紹介な
ど
１９：１０ 〜 １９：５０ WEBセキュリティ
１９：５０ 〜 ２０：００ 休憩
２０：００ 〜 ２０：３０ WEBセキュリティ
２０：３０ 〜 ２０：４０ まとめ
２０：４０ 〜 後片付け（終了）

3. 本日の勉強会内容の
対象者目安
・対象
１．Webアプリケーションを作ったことがない。
２．セキュリティについて何も知らない。
３．セキュリティについての基本は幾つか知ってはいるが、
意識したことは無い。
・非対象
４．セキュリティの基礎についてしっかりと把握し、意識して
コードを書いている。
５．セキュリティについての最新動向もしっかりと学習し
開発に生かしている。

4. WEBセキュリティー１

5. はじめに
『WEBアプリケーションの数が近年急増』
【背景】
様々なデバイスの普及（スマホ、タブレット等）
クラウド関連の成長

6. Webアプリケーション数と
脆弱性報告数
出典元 IPA
（http://www.ipa.go.jp/security/vuln/report/vuln2012q3.html）

7. グラフ（１）
ソフトウェアに対してウェブサイト
の脆弱性報告が非常に多い！
２００８年後期に急増（titterなどの
WEB関連のサービスが流行り始める）

8. グラフ（２）
グラフはユーザからの報告を
受けた把握できている数
実際にはwebサイトの約４割
が脆弱性を抱えている
出典元 IT pro
（http://itpro.nikkeibp.co.jp/article/NEWS/20120705/407596/）

9. グラフ（３）
IPA調べでは２０１２年３Q度の１営業日に対する
報告数はなんと。。
３．９６ 件/日!!

10. 脆弱性とは

11. 脆弱性の種類（１）
ここで脆弱性として代表的な物をご紹介！
Cross Site Scripting（クロスサイトスクリプティング）
Parameter Manipulation（パラメータ改ざん）
Backdoor & Debug Options（バックドアとデバッグオプ
ション）
Forceful Browsing（強制的ブラウズ）
Path Traversal（パスの乗り越え）
SQL Injection（SQLの挿入）
OS Command Injection（OSコマンドの挿入）
Client Side Comment（クライアント側コメント）etc

12. Cross Site Scripting
（クロスサイトスクリプティング）
第三者が通常のサイト利用者に対して
自由にスクリプトを実行させる事がで
きる。
これにより、ユーザしか知り得ない情
報
（IDやパスなど）を不正に取得するこ
とが

13. Parameter Manipulation（パラメータ改ざん）
Path Traversal/Directory Traversal（パスの乗り越え）
Forceful Browsing（強制的ブラウズ）
上記の３つに共通な部分はURLの文字列変更による攻撃
例）
http://○○○.com/○○○.php?userid=２１９
http://○○○.com/phpmyadmin
http://○○○.com/(インデックスページの表示)
上記の様なURLの場合、useridの部分を２２０や２２１に
変える事で別ユーザとしてアクセスできそう

14. Backdoor & Debug Options
（バックドアとデバッグオプション）
Client Side Comment
（クライアント側コメント）
上記の２つは主に開発中に開発者のミスで生まれる
脆弱性。
開発中に仕込んでいた、本来踏むべき手順を無視
し、実行できるルートを削除し忘れていたため、本
来ならば起こり得ない事象を生む。
HTMLコメントは、攻撃者の格好のヒントになってし
まう恐れも。。。

15. SQL Injection / Second Order Injection（SQLの挿
入）
OS Command Injection（OSコマンドの挿入）
SQLやOSコマンドを入力欄に入力し、本来で
あればエスケープすべきSQL文をしていない
それらの文字列がサーバによってコマンド
として実行されてしまう現象。
例）
ログイン画面、パスワード入力欄などに
SQLを
書きサーバに送信

16. 脆弱性の割合
出典元 IPA
(http://www.ipa.go.jp/security/vuln/report/vuln2012q3.html)

17. 脆弱性まとめ
脆弱性の中で特に代表的なもの
それが
クロスサイトスクリプティング（XSS）
と
SQLインジェクション
です！

18. XSSとSQLインジェクション
詳細

19. XSS（クロスサイトスクリプティング）
詳細（１）
ここでスクリプトを
送り込む
正規のWEBページ
偽の関連サイト 等
（悪意のある第三者） 一般ユーザ

20. 余談
クロスサイトリクエストフォー
ジェリ
リダイレクト
正規のWEBページ
予めサーバに送信される情報を作成
（悪意のある第三者） 一般ユーザ

21. XSS詳細（２）
対策としてしっかりと
サニタイジング（無害化）
しよう！

22. サニタイズとは？
Webサイトの入力フォームへの入力
データから、HTMLタグ、JavaScript、
SQL文などを検出し、それらを他の文
字列に置き換えること。
※エスケープなど無害化行為の総称

23. PHPでの対策
出力時、
htmlspecialchars関数で
簡単に出来ます！

24. XSS（クロスサイトスクリプティン
グ）
詳細（１）より
ここでスクリプトを
無害化できる
正規のWEBページ
偽の関連サイト 等
（悪意のある第三者） 一般ユーザ

25. SQLインジェクション
詳細（１）
SQLインジェクション例）
ID
ここの値を
$SQL = “Select * from user where id = ‘”.$id. ”’”;
なんて形でやっていると・・・・

26. SQLインジェクション
詳細（２）
SQLインジェクション例）
ID A‘ or ‘A’ = ‘A’
と入力されると展開後の文字列は
Select * from user where id = ‘A’ or ‘A’ = ‘A’;
となり入力情報が
なんであっても通ってしまう

27. SQLインジェクション
詳細（３）
前述のような形なら
まだ幾らかマシです！！

28. SQLインジェクション
詳細（４）
SQLは；（セミコロン）で区切ることが出来るので
ID ‘；delete from user
と入力されると
後ろに続くdelete文が実行されま
す！！
こんな事されたらもう・・・・

29. SQLインジェクション
（５）
対策として（；や‘は）
エスケープすること！
特殊文字として認識させないように
文字列として内部で扱う
また、入力時の禁止文字列としての
対応も対策のひとつ！

30. SQLインジェクション
（６）
エスケープ処理もきちんとしたし、
これで一安心！！
ではないんです！

31. セカンドオーダインジェクション
（１）
大層な名前ですが
SQLインジェクションと本質
は
同じです！

32. セカンドオーダインジェクション
（２）
例として例えば以下の様な
形でユーザ登録できる
webアプリがあったとします。
ID : admin’--
pass : password

33. セカンドオーダインジェクション
（３）
もし、このWEBアプリがパスを変更できる
としたら流れるクエリはこんな形
Update user set pass = ‘pass’ where id = ‘admin’—’;
SQLは-をコメントとしているので、上記の
SQLではadminのアカウントの
パスワードが変更されてしまう。

34. セカンドオーダインジェクション
（４）
外部入力時のみではなく
読み出しの値に対しても
エスケープ処理を忘れずに！
（全てのクエリに対してエスケープは必須で
す）

35. 現在では・・
現在では、これらのサニタイジングを自動で（意識
せず）やってくれるフレームワークが多数存在して
います。
しかし、それらのものにも脆弱性が存在しうるた
め、日々の最新アップデートは常に確認しておくべ
き！

36. セキュリティーまとめ
XSSはHTML出力時、サニタイジングを！
SQLインジェクションは、SQL生成時全ての場合に
おいてエスケープ処理を！
昨今の開発ではフレームワークを使用している為、
脆弱性を生むような自体は避けられてはいる。
が、バージョンアップなどの動向については常に
チェックするよう心がける。