なぜPHPアプリにセキュリティホールが多いのか?
【スクリプトインジェクション対策06】入力文字列の文字エンコーディングを検証する
筆者はここ数年,ブラウザからの入力は指定された通りの正しい文字エンコーディングでエンコードされているか検証しなければならない,と解説しています。手前味噌ですが2006年3月に出版した「Webアプリセキュリティ対策入門」(技術評論社)でも,入力文字列のエンコーディングが妥当であるか検証しなければならない,と解説しています。
残念なことに最近になっても不正な文字エンコーディングが入力される可能性を考慮していないことによる脆弱性が,PHP本体自体やPHPも利用しているライブラリlibxml2に発見されました。不正な文字エンコーディングはデータが正しくないだけでなく,スクリプトインジェクションやSQLインジェクション,DoS攻撃等を可能にします。
マルチバイト文字エンコーディングは最初または前方に配置されたバイトで1文字が何バイトで構成されるか決まります。この性質を利用してマルチバイト文字列の開始バイトでエスケープ文字を無効化することが可能な場合があります。
Shift JIS等のマルチバイト文字に含まれる特殊文字(\)を利用し,余計なエスケープ文字を追加させ,文字列の終端を誤摩化す攻撃も可能になります。Shift JISやBIG5文字エンコーディングには\がマルチバイト文字列の中に現れます。このため,次の例のような文字エンコーディングを考慮しない文字列置換を行うと不必要なエスケープが発生します。
例:
addslashes('表'); // SJIS文字エンコーディング
「表」は0x95, 0x5Cです。0x5CはASCIIの\です。addslashes関数でエスケープ処理すると0x95, 0x5C, 0x5Cとなります。これはSJISでは「表\」となり余計な\が追加されます。\がエスケープ文字のシステム(JavaScriptやMySQL)の場合,文字列が意図通りに終了せず意図しないコードの実行を許す場合があります。
SJISエンコーディングでは0x95はマルチバイト文字の開始バイトと解釈されるので,
"SJISの0x95"
を
"SJISの0x95+0x22
と解釈してしまい,文字列が終了しないプログラムもあります。
PHPには文字エンコーディングが正しいか確認するmb_check_encoding()関数が用意されています。残念ながらmb_check_encoding関数を定義しているmbstringモジュールはデフォルトで組み込まれるモジュールでないため,海外で開発されたPHPアプリケーションのほぼすべてが文字エンコーディングが正しいかチェックしていません。
$_FILES以外の$_POST, $_GET, $_COOKIEに保存されたデータはすべて文字として扱えるデータである,とおおむね仮定できるので,ほぼ機械的に文字エンコーディングをチェックできます。しかし,アプリケーションによっては$_POST, $_GET, $_COOKIEに保存されたデータがバイナリである場合もあります。例えば,バイナリデータをURLエンコードでエンコードしている場合,PHPは自動的にデコードするので$_GETに保存された時点ではバイナリデータになっています。このような場合,文字列として文字エンコーディングチェックを行うとエラーが発生するので注意が必要です。このような場合,除外リストを作成して除外するとよいでしょう。
例: 入力文字エンコーディングのチェック
// 入力文字列のエンコーディングを設定
define('INPUT_ENCODING', 'UTF-8');
function input_encoding_check_cb($k, $v) {
// input_encoding_checkのコールバック関数
if (!mb_check_encoding($k, INPUT_ENCODING) || !mb_check_encoding($v, INPUT_ENCODING)) {
trigger_error('不正な文字エンコーディングを検出しました');
die('System detected some errors');
}
}
function input_encoding_check($v) {
array_walk_recursive($v, 'input_encoding_check_cb');
}
input_encoding_check($_GET);
input_encoding_check($_POST);
input_encoding_check($_COOKIE);
対策のまとめ
- 入力文字列は必ず文字エンコーディングが正しいか確認する
- 可能な限り文字エンコーディングは統一する
- SJIS,EUC-JP,ISO-2022-JPを取り扱う場合,特に注意する
- 正しい文字エンコーディングのみ保存可能な仕組み利用する(データベースなどのバイナリ型を利用して不正な文字エンコーディングの文字列を保存しない)
大垣靖男(おおがきやすお)
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。
著書
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH40_4774125024.jpg){kind=small}
補講
- 【スクリプトインジェクション対策19】ユーザを教育する
- 【スクリプトインジェクション対策18】ログイン処理を正しく実装する
- 【スクリプトインジェクション対策17】パスワードを正しく管理する
- 【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する
- 【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする
- 【スクリプトインジェクション対策14】HTML,CSS,JavaScriptの生成はホワイトリスト方式を利用する
- 【スクリプトインジェクション対策13】不正な文字データを保存できないようにする
- 【スクリプトインジェクション対策12】データベースなど,内部データを信用しない
- 【スクリプトインジェクション対策11】エスケープしてはならないデータ以外はすべてエスケープする
- 【スクリプトインジェクション対策10】すべての入力値を可能な限り厳しい条件で検証する
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
![[改訂3版]図解でよくわかる ネットワークの重要用語解説](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138213.jpg){kind=small}
![[改訂新版]これだけはおさえたい データベース 基礎の基礎](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774139937.jpg){kind=small}
