2024.10.01
自社の社内情報を未来の“ゴミ”にしないための備え 「情報量が多すぎる」時代がもたらす課題とは?
静的解析ツールで生まれたSQLインジェクション(全1記事)
リンクをコピー
記事をブックマーク
小川氏:小川と申します。「静的解析ツールで生まれたSQLインジェクション」というタイトルで発表いたします。よろしくお願いします。
自己紹介を簡単に。経歴ですが、昔学生の時にWebアプリ開発のバイトをしていて、就職後は10年ぐらいぜんぜん違う、製造業で働いていました。ずっとパソコンを見ていたら目が悪くなるかなと思ってほかの業界に行ったのですが、結局ずっとExcelやWordを見ていて、あまり変わりませんでした。
結局やはりITだなと思って、最近root ipという会社に転職して、BtoBのSaaSを作っています。PHPとVueがわかる人が今本当に欲しいので、誰か心当たりがあったら来てください。
おもしろかった脆弱性というところで、今日はCVE-2023-22727というものを紹介します。
これは何かというと、PHPのフレームワークのCakePHP 4で、SQLインジェクションがあったというものです。ORMのlimit、offsetというところでSQLi(SQLインジェクション)が通った。CVSSとしては9.8という、最近「curl」の作者がブチ切れていたやつと同じぐらいの危険度です。
(会場笑)
すでに半年以上前から修正しているので、もう出してもいいかなというやつです。
PHPをあまり使っていないとご存じないかもしれませんが、CakePHPは、たぶんLaravelの次ぐらいに使用率が多いフレームワークで、けっこう日本でも使われているので、わりかし危なかったんじゃないかなというやつです。わりかし使いやすいやつですね。
コード品質が上がる静的解析ツールを使ってフレームワークのコードをきれいにした時に逆に(インジェクションが)発生したという、ちょっとおもしろい事例というところで、今日持ってきました。
みなさんは脆弱性に興味があると思うので、まず脆弱性から説明します。
(スライドを示して)こんなもんで、ごく普通のORMです。簡単にORMの説明をしておくと、下のようなSQLをプログラミング言語っぽくこんな感じで書いたら、よしなに作ってくれるやつですね。
ここのlimitに、こんな感じのTRUNCATEとかを適当に放り込んだら、ごく当たり前にSQLiが通ってしまったというやつです。
(会場笑)
ユーザー入力を検索結果が入るところに放り込んだら死んだという事例です。
「マジで?」と思ったんですが、バージョン4.2というけっこうなバージョンで、今さらなんでこんなのが出てくるんだろう、とか。
(会場笑)
そもそもこれは、脆弱性じゃなくて仕様じゃないのかなとか。
(会場笑)
あと、これを見たら、たぶんユーザー入力をそのまま使うな、とか、そういう思いをいろいろ持つと思うんです。
これにはちょっと経緯があって。もともとバージョン4.2まではintにキャストされていたんですね。だから何を放り込んでも、死にはしなかった。
その仕様を知っていればサニタイズしなかったので、バージョンアップすると逆にヤバかったという罠があったということです。
何が起きていたのかと思って、当時のコミットログを見てみました。簡単に解説すると、limitというORMの関数にnumという引数を入れて、こいつがnullかobjectじゃなかったらintにキャストするというやつがあったんですが、こいつが消えていました。
「何や、これは?」というところで、ちょっと現場猫感を感じながら。
(会場笑)
その原因を追究したのがここからです。
ちょっと話は変わるのですが、静的解析ツールをみなさんご存じでしょうか? 開発をやっている方は、きっとご存じだと思います。コミットメッセージで「Fix errors reported by psalm」という、「Psalm」というものがあって、これはPHPの静的解析ツールです。なので、これは静的解析ツールのエラー修正の時に発生したというものになっています。
これが何をやってくれるかというと、型がおかしいよとか、ロジックとか、この変数使っていないよとか、動かす前にまず静的にこれをいろいろ調べて、しかも修正もしてくれるという、だいぶすごいツールです。最近の開発はみんなこれを使っていて、「これがあったらどんどんバグが減るぞ」みたいなすごいツールです。
これがめちゃめちゃ指摘をしてくるんですね。これが起きた時のフレームワークで試しにやってみたら342件エラー、と言われて。これはきついなと。
自動修正機能があるので、たぶん「手でやっていられない」と思って、バッとやったと思うんですよ。僕も試しにやってみたところ、intキャストが消えました。
(会場笑)
これかと。たぶん、intキャストが消えて、ただの代入になったので、さらにこのif文も消えてコミットされたのかなと。
「これは何や?」と思いました。ちょっといろいろあるのですが、PHPにも引数の型宣言機能があります。
(スライドを示して)例えばこんな感じで、「int $num」とか。ただちょっと、objectも受けられるかたちで、古いPHPはunion型が非対応だったので、たぶんあえてint | objectみたいなものを書かずに、Docコメントという、IDEとか静的解析でチェックしてくれるコメントで教えるだけに留めるとやったっぽいんですね。
静的解析ツールは、こいつを信じて「キャスト要らないな」と消してしまったらしく、でも、Docコメントは強制じゃないので、string型でも通って、無事死亡したというアレですね。
この自動修正はヤバいんじゃないのと、さすがにissueを上げようかと思って調べたのですが、このRedundantCastなんちゃらかんちゃらというやつを調べたら、同じところで出ているやつの9割方は大丈夫だったんですね。
外部とのインターフェイスで、強制がないところがちょっヤバかったという感じで、union型が使えないPHPはもう死んでいくので、まぁ、いいかなということでちょっと流しました。
ということでまとめですが、コード品質が上がる静的解析ツールでたまに脆弱性が生まれることがあります。
開発の人にとっては、やはりこいつは正義なので使いましょうということなんですが、自動修正、特にインターフェイス部分ではちょっと気をつけましょう。
あと、ここに書き忘れたのですが、MySQLとかだったら複文実行を禁止している、クエリを2個以上投げられない機能があるので、それを有効にすれば、こういう、後ろにTRUNCATEみたいな、めちゃくちゃやってくるやつは防げます。テストのために無効にして、これを投げたら本当に通ったのでめっちゃビビったんですけど。
(会場笑)
僕、通らないって知っていたんですよ。もともとキャストされると知っていたから。まさにこの、知っていた人間がかまされたというやつで、めっちゃビビりましたが、気をつけましょう。ユーザー入力もきちんとチェックしましょうという話ですね。
あと、ちょっとオブラートに包んで、セキュリティ研究者向けの話で、「GitHub」で「静的解析かけた」とか、ツール名が入ったコミットを漁ったら、きっとおもしろいものが出てくるんじゃないかなと思っています。
(会場笑)
あと、検索してもぜんぜん見つけられなかったんですが、(スライドを示して)ほかのOSSではこんな感じで、同じように「静的解析ツールに言われたから直したわ」みたいなコミットメッセージで爆発したやつがあったような気がしたのですが、誰か知っていたら教えてください。ちょっと思い出せませんでした。というわけで終わりです。
資料は「Twitter(現「X」)」の「@hoge」というところに置いておきますので、よろしくお願いします。以上です。
(会場拍手)
関連タグ:
2024.10.29
5〜10万円の低単価案件の受注をやめたら労働生産性が劇的に向上 相見積もり案件には提案書を出さないことで見えた“意外な効果”
2024.10.24
パワポ資料の「手戻り」が多すぎる問題の解消法 資料作成のプロが語る、修正の無限ループから抜け出す4つのコツ
2024.10.28
スキル重視の採用を続けた結果、早期離職が増え社員が1人に… 下半期の退職者ゼロを達成した「関係の質」向上の取り組み
2024.10.22
気づかぬうちに評価を下げる「ダメな口癖」3選 デキる人はやっている、上司の指摘に対する上手な返し方
2024.10.24
リスクを取らない人が多い日本は、むしろ稼ぐチャンス? 日本のGDP4位転落の今、個人に必要なマインドとは
2024.10.23
「初任給40万円時代」が、比較的早いうちにやってくる? これから淘汰される会社・生き残る会社の分かれ目
2024.10.23
「どうしてもあなたから買いたい」と言われる営業になるには 『無敗営業』著者が教える、納得感を高める商談の進め方
2024.10.28
“力を抜くこと”がリーダーにとって重要な理由 「人間の達人」タモリさんから学んだ自然体の大切さ
2024.10.29
「テスラの何がすごいのか」がわからない学生たち 起業率2年連続日本一の大学で「Appleのフレームワーク」を教えるわけ
2024.10.30
職場にいる「困った部下」への対処法 上司・部下間で生まれる“常識のズレ”を解消するには