なぜPHPアプリにセキュリティホールが多いのか?

【スクリプトインジェクション対策03】セッションIDが利用できる範囲を制限する

この記事を読むのに必要な時間:およそ 1 分

クッキーには参照可能な範囲を制限する機能が定義されています。

  • パス
  • プロトコル
  • スクリプトからのアクセス

の3種類の制限方法があります。制限するのではなく,反対に参照可能な範囲をドメインパラメータで増やすことも可能です。当然ですが参照可能なドメインを増やすのは好ましくありません。セッションIDを共用するアプリケーションが増えれば増えるほど,スクリプトインジェクションなどでセッションIDが漏洩するリスクが増加します。

同じドメインで複数のアプリケーションを利用している場合,パスでセッションIDを保存したクッキー送信を制限することができます。例えば,www.example.comドメインの/myapp/以下にアプリケーションがインストールされている場合,session_set_cookie_params関数を用いて以下のURLからのみクッキーを参照可能に設定できます。

http://www.example.com/myapp/
session_set_cookie_params関数
void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure [, bool $httponly ]]]] )

例:セッションIDクッキーにパスを設定

session_set_cookie_params(0, '/myapp/');
session_start();

SSLが有効な場合のみにクッキーが参照できるオプションもあります。

例:セッションIDクッキーがHTTPSプロトコルの場合に利用可能に設定する

session_set_cookie_params(0, '/myapp/', 'www.example.com', true);
session_start()

ログインしたセッションIDを保存するクッキーをHTTPSプロトコルでのみ利用されるのであれば,このオプションを有効にすると盗聴によるセッションハイジャックからも保護されます。特にセキュリティが重要なサービスを提供しているサイトの場合,ログイン状態を管理するセッションIDはHTTPSプロトコルでのみ送信可能に設定すべきです。

インターネット標準機能ではないですが,JavaScriptからクッキーにアクセスできなくするオプションも設定可能です。Internet ExplorerとFirefoxにはこの機能が実装されています。

例:JavaScriptからのアクセスを許可しない

session_set_cookie_params(0, '/myapp/', 'www.example.com', true, true);
session_start()

重要な情報にアクセス可能な範囲を可能な限り限定することはセキュリティ対策の基本です。しかし,多くのサイトで実践されているか?というと,大手サイトでも不十分なサイトが少なくありません。

既に解説済みで繰り返しになりますが,セッションIDが利用できる範囲を制限するためにも,セッションIDには必ずセッションクッキーを利用しなければなりません。PHPにはURLやフォームにセッションIDを埋め込むTransSID機能があります。しかしこの機能を利用すると,メールやブックマークにセッションIDが記録されセッションIDが漏えいする危険性が高くなります。このため,セッション管理にはクッキーを利用します。

とはいえ,有効期限が設定されたクッキーはローカルPC上ではファイルなどに保存されます。ユーザが共有PCを利用したりするとセッションIDがファイルに保存され,漏えいするリスクが高くなります。有効期限が0のクッキーはセッションクッキーと呼ばれブラウザのメモリのみに保存されます。例えアプリケーションがログアウトをサポートしていないようなアプリケーションであっても,セッションクッキーはメモリ上に保存されているのでブラウザが終了すると削除されます。

セッションクッキーを利用するとクッキー情報がファイルに保存されないので,ファイル共有やリモートログインを利用してクッキーファイルからセッションIDを盗まれるリスクをなくすことも可能です。

対策のまとめ

  • クッキーを参照可能なドメインは増やさない
  • パス属性を設定できる場合は必ず設定する
  • SSLセッションで使うセッションIDはhttpsプロトコルでのみ利用可能にする
  • スクリプトからクッキーにアクセスしなくてもよい場合はhttponly属性を使用する
  • セッションIDには必ずセッションクッキーを利用する

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書

コメント

コメントの記入