PHP で「外部ファイル取り込み」を再学習 :: セキュリティについてもっと知りたい!
久しぶりに PHP に触ったら、当たり前の事をすっかり忘れていました。
外部ファイルの読み込みとかも、適当だったりしてセキュリティ的に非常にマズイなぁと思ったのでちょっとだけ調べてみました。
『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践』を立ち読みしたから、なんですけれどね。
ソフトバンククリエイティブ
売り上げランキング: 258
ソフトバンク クリエイティブ:体系的に学ぶ 安全なWebアプリケーションの作り方
1章 Webアプリケーションの脆弱性とは
1.1 脆弱性とは、「悪用できるバグ」
1.2 脆弱性があるとなぜ駄目なのか
1.3 脆弱性が生まれる理由
1.4 セキュリティバグとセキュリティ機能
1.5 本書の構成3章 Webセキュリティの基礎 〜HTTP、セッション管理、同一生成元ポリシー
3.1 HTTPとセッション管理
3.2 受動的攻撃と同一生成元ポリシー4章 Webアプリケーションの機能別に見るセキュリティバグ
4.1 Webアプリケーションの機能と脆弱性の対応
4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.3.1 クロスサイト・スクリプティング(基本編)
4.3.2 クロスサイト・スクリプティング(発展編)
4.3.3 エラーメッセージからの情報漏洩
4.4 SQL呼び出しに伴う脆弱性
4.4.1 SQLインジェクション
4.5 「重要な処理」の際に混入する脆弱性
4.5.1 クロスサイト・リクエストフォージェリ(CSRF)
4.6 セッション管理の不備
4.6.1 セッションハイジャックの原因と影響
4.6.2 推測可能なセッションID
4.6.3 URL埋め込みのセッションID
4.6.4 セッションIDの固定化
4.7 リダイレクト処理にまつわる脆弱性
4.7.1 オープンリダイレクタ脆弱性
4.7.2 HTTPヘッダ・インジェクション
4.7.3 リダイレクト処理にまつわる脆弱性のまとめ
4.8 クッキー出力にまつわる脆弱性
4.8.1 クッキーの不適切な利用
4.8.2 クッキーのセキュア属性不備
4.9 メール送信の問題
4.9.1 メール送信の問題の概要
4.9.2 メールヘッダ・インジェクション脆弱性
4.10 ファイルアクセスにまつわる問題
4.10.1 ディレクトリ・トラバーサル脆弱性
4.10.2 意図しないファイル公開
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.11.1 OSコマンド・インジェクション
4.12 ファイルアップロードにまつわる問題
4.12.1 ファイルアップロードの問題の概要
4.12.2 アップロードファイルによるサーバー側スクリプト実行
4.12.3 ファイルダウンロードによるクロスサイト・スクリプティング
4.13 インクルードにまつわる問題
4.13.1 ファイルインクルード攻撃
4.14 evalにまつわる問題
4.14.1 evalインジェクション
4.15 共有資源に関する問題
4.15.1 競合状態の脆弱性5章 代表的なセキュリティ機能
5.1 認証
5.1.1 ログイン機能
5.1.2 総当たり攻撃への対策
5.1.3 パスワードの保存方法
5.1.4 自動ログイン
5.1.5 ログインフォーム
5.1.6 エラーメッセージの要件
5.1.7 ログアウト機能
5.2 アカウント管理
5.2.1 ユーザ登録
5.2.2 パスワード変更
5.2.3 メールアドレスの変更
5.2.4 パスワードリマインダ
5.2.5 アカウントの停止
5.2.6 アカウントの削除
5.3 認可
5.3.1 認可とは
5.3.2 認可不備の典型例
5.3.3 認可制御の要件定義
5.3.4 認可制御の正しい実装
5.4 ログ出力
5.4.1 ログ出力の目的
5.4.2 ログの種類
5.4.3 ログ出力の要件
5.4.4 ログ出力の実装6章 文字コードとセキュリティ
6.1 文字コードとセキュリティの概要
6.2 文字集合
6.3 文字エンコーディング
6.4 文字コードによる脆弱性の発生要因まとめ
6.5 文字コードを正しく扱うために7章 携帯電話向けWebアプリケーションの脆弱性対策
7.1 携帯電話向けWebアプリケーションの技術的特徴
7.2 携帯ブラウザの技術仕様
7.2.1 JavaScriptの仕様
7.2.2 クッキーの仕様
7.3 かんたんログインの問題
7.4 URL埋め込みのセッションIDによる問題
7.5 その他の問題8章 Webサイトの安全性を高めるために
8.1 Webサーバーへの攻撃経路と対策
8.1.1 基盤ソフトウェアの脆弱性をついた攻撃
8.1.2 不正ログイン
8.1.3 対策
8.2 成りすまし対策
8.2.1 ネットワーク的な成りすましの手口
8.2.2 フィッシング
8.2.3 Webサイトの成りすまし対策
8.3 盗聴・改ざん対策
8.3.1 盗聴・改ざんの経路
8.3.2 中間者攻撃
8.3.3 対策
8.4 マルウェア対策
8.4.1 Webサイトのマルウェア対策とは
8.4.2 マルウェアの感染経路
8.4.3 Webサーバーのマルウェア対策の概要
8.4.4 Webサーバーにマルウェアを持ち込まない対策
目次だけでヤバいです。
外部のコードの読み込み
外部のコードやHTMLを取り込むには、require / include を使う。
require と include の違い
主な違いは、読み込もうとしたファイルが存在しなかった場合の挙動。
- require
- 致命的なエラーが発生して、処理が終了する
- include
- 警告を発生させるだけで、スクリプトの実行を続行する
include の使用例
全ページ共通のデザインと各ページ固有のコンテンツの分離。
ヘッダやフッタのような共通要素を個別の HTML ファイルに分割する、など。
<?php include 'header.php'; ?> 各ページ固有のコンテンツ <?php include 'footer.php'; ?>
require の使用例
コードのライブラリなどの読み込みに適している。
<?php require 'codelib.inc'; mySub(); // codelib.inc に記載されている関数 ?>
■ヘッダとフッタの関数を読み込み
<?php require 'design.inc'; // デザイン部分のコンテンツ header(); // design.inc に記載された ヘッダ関数 ?> 各ページ固有のコンテンツ <?php footer(); // design.inc に記載された フッタ関数 ?>
include_once / require_once
動作はほぼ一緒だが、既に読み込まれている場合には、再度読み込まれない。
スクリプトの実行時にファイルが複数回読み込まれ、関数の再定義、変数への再代入が複数回行われるなどといった問題を回避できる。
スコープ
ファイルから読み込まれたコードは、include を実行したスコープと同じスコープで動作する。
<?php include 'userprefs.inc'; // グローバル変数 $user を定義 echo "こんにちは $user さん"; ?>
気になったコト
allow_url_fopen を php.ini で有効にしておくと、外部ファイルの取り込みが簡単にできます。
ですが……セキュリティ的に結構危険な設定なんですね。
PHP と Web アプリケーションのセキュリティについてのメモ
allow_url_fopen は、環境によってはデフォルトで on のままでした。
もうちょっと、セキュリティに対して意識を高めていきたいと思います。
それにしても『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践』が、ホントにスゴイんです。
Webプログラマは、騙されたつもりで手にとってみることをオススメします。
説明がとても丁寧で、二色刷りだから読みやすいうえに分かりやすい!
更に、PHP のサンプルコードが盛りだくさんでした。PHP 使ってる人は特に有効だと思いますヨ。