こちらの記事は以下の書籍を参考に執筆しました
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践
クロスサイトスクリプティング(XSS)
エンドユーザからの入力などによって生成されるページでは
不正なスクリプトが混入/実行されてしまう可能性があります。
このような脆弱性のことをクロスサイトスクリプティングといいます。
綴はCross Site Scriptingで略すとCSSですが、
略するとCascading StyleSheetと混同してしまうので、
クロスサイトスクリプティングはXSSと略すのが一般的です。
対策
XSS脆弱性を回避するには、動的に生成される
すべての値に対してエスケープ処理をすることです。
しかしエスケープ処理ですべてのケースに対応できるわけでありません。
例えばJavaScript疑似プロトコルによるコードの埋め込みや、
不正なマルチバイト、nullバイトを埋め込み、
タグを意図的に「破壊」してスクリプトを混入させる等の攻撃でを避けるためには、入力値の妥当性検証も必要です。
タグ文字列の許可
エンドユーザからのタグ文字列を容認したい場合も、全てのタグを無条件に受け入れることは危険です。
安全なタグだけを残すために、一旦文字解析して、安全なタグと属性だけで文字列を組み立て直す作業を自分でおなうのは大変です。
そこでHTML Puriferライブラリを使用します。
HTML Puriferはcomposerからインストールできます。
SQLインジェクション
SQL命令に不正なパラメータを引き渡すことで、開発者が意図しないSQL命令が生成/実行されてしまう脆弱性を指します。
エンドユーザによってもともとのSQL命令が書き換えられてしまう大きな問題で、
もともとのSQLに対して、別のSQL命令を注入(injection)するという意味でSQLインジェクションと呼ばれます。
対策
SQLエスケープが有効です。
SQLエスケープは終了文字「'」を「''」に置き換えることで予約文字「'」を無効化します。
値一つ一つにエスケープ処理をするのは大変なので、PDOを利用しているならプレイスホルダを利用すべきです。
プレイスホルダを利用することでエスケープ処理をPDOStatementクラスが内部的に色々やってくれるので開発者は気にせず開発をすすめることができます。
OSコマンドインジェクトション
OSコマンドに対して不正な命令を注入することをOSコマンドインジェクションといいます。
具体例を示すと以下となります。
<?php
$result=shell_exec("dir {$_GET['param']}");
PHPではスクリプトからOSコマンドを実行する方法として
- shell_exec関数
- exec
- passthru関数
- 「`」演算子
等の命令を利用できます。
ここではdirコマンドに対してクエリ情報paramの値をパラメータとして引き渡そうとしていますが、脆弱性を含んでいます。
例えばshell.phpに対して
~shell.php?param=|%20mkdir%20test
のようにアクセスすると、以下のようなコマンドが生成されることになります。
$ dir | mkdir test
クエリ情報の内容を変更すれば、フォルダを削除することもファイルの内容を出力することも可能となってしまいます。
コマンド実行系の命令はできるだけ利用しないようにしたいですが、どうしても使用する場合にも外部からの入力をそのまま容認してしまうのは避けるべきです。
それでもどうしてもやむを得ないという場合にはユーザの入力をescapeshellarg関数でエスケープ処理をします。
$param=escapeshellarg($_GET['param']);
$result=shell_exec("dir {$param}");
ちなみに、コマンド文字列をエスケープするためにescapeshellcmd関数もありますが、
そもそも外部入力からコマンドそのものを生成するのは避けるべきです。