PythonのURLパーサで見つかった脆弱性について解説する

Transcript

1. ３４回 初心者のためのセキュリティ勉強会 PythonのURLパーサで見つか った脆弱性について解説する kuzushiki 1 / 11

2. ３４回 初心者のためのセキュリティ勉強会 自己紹介 kuzushiki 社会人4年目 Webアプリケーションまわりのセキュリティ 最近のニュース セキュリティ・キャンプ見学してきました アーマードコア6始めました。チュートリアルのヘリ強すぎ… 2

   / 11

3. ３４回 初心者のためのセキュリティ勉強会 発表内容 Pythonの標準ライブラリ urllib.parse に脆弱性が見つかった Pythonはよく使っており、興味があったので解説する ` ` The

   Hacker News @TheHack… · Follow Critical Python URL parsing flaw (CVE-2023-24329) discovered! Allows domain filter bypass, enabling file reads & command execution. Find details here: thehackernews.com/2023/08/new- py… #cybersecurity #hacking #programming #DevOps 3 / 11

4. ３４回 初心者のためのセキュリティ勉強会 CVE-2023-24329 影響を受けるバージョン: 3.11.4より前 以下のバージョンは修正済み 3.11.4 3.10.12 3.9.17 3.8.17

   3.7.17 CVSSスコア: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N (7.5) 脆弱性: URLの検証不備 4 / 11

5. ３４回 初心者のためのセキュリティ勉強会 脆弱性の挙動を確認してみた 先頭にスペースを入れた場合、適切にパースできていない！ 1 root@dfa36d67dd55:~# python3 2 Python 3.11.3

   (main, May 23 2023, 13:34:03) [GCC 10.2.1 20210110] on linux 3 Type "help", "copyright", "credits" or "license" for more information. 4 >>> from urllib.parse import urlparse 5 6 >>> urlparse("http://example.com") 7 ParseResult(scheme='http', netloc='example.com', path='', params='', query='', fragment='') 8 9 >>> urlparse(" http://example.com") 10 ParseResult(scheme='', netloc='', path=' http://example.com', params='', query='', fragment= 5 / 11

6. ３４回 初心者のためのセキュリティ勉強会 どう修正されたか 修正コミットを見てみよう！ gh-102153: Start stripping C0 control and

   space chars in urlsplit (… · python/cpython@2f630e1 -> WHATWGの仕様に沿って、先頭と末尾のC0制御文字およびスペースを削除するようにした ` ` ” Leading and trailing C0 control and space to be stripped per WHATWG spec. ” A C0 control is a code point in the range U+0000 NULL to U+001F INFORMATION SEPARATOR ONE, inclusive. https://infra.spec.whatwg.org/#c0-control 6 / 11

7. ３４回 初心者のためのセキュリティ勉強会 悪用されるケース Q. でも、URLの検証不備ってそこまで大した影響ないんじゃ… A. ブラックリスト形式でスキームやホストを制限しているとSSRFなどの恐れあり 1 from urllib.parse

   import urlparse 2 3 def safe_url_opener(input_link): 4 block_schemes = ["file", "gopher"] 5 block_host = ["localhost", "instagram.com", "youtube.com", "tiktok.com"] 6 7 if urlparse(input_link).scheme in block_schemes: 8 return 'Blocked! Input scheme is forbidden.' 9 10 if urlparse(input_link).hostname in block_host: 11 return 'Blocked! Input hostname is forbidden.' 12 13 # このあと検証後のURLに対してリクエストを送信したりする 7 / 11

8. ３４回 初心者のためのセキュリティ勉強会 SSRFってなんだっけ？ サーバサイドリクエストフォージェリ (Server Side Request Forgery) サーバから他のサーバへリクエストを発行する際、リクエスト先を攻撃者が指定できる脆弱性 「リクエストを送信できるだけでしょ？」と思われるかもしれないが、色々な悪用方法がある

   内部ネットワークの情報取得 file スキームを用いてサーバ内ファイルの閲覧 gopher スキームを用いて公開されていないRedis、メール、SQLサーバと対話 ` ` ` ` 8 / 11

9. ３４回 初心者のためのセキュリティ勉強会 デモ https://6d4b-27-138-111-54.ngrok-free.app/ 以下のブラックリストを回避して、ローカルファイルの閲覧や内部サーバへのアクセスを試してみよう 1 block_schemes = ["file"] 2

   block_host = ["web-secret"] # 内部からは http://web-secret:8080 でアクセス可能 9 / 11

10. ３４回 初心者のためのセキュリティ勉強会 余談 ドキュメントに以下の記述が追加されていた -> 開発者は脆弱性というより仕様に近いと考えているようだ 今回は開発者が修正してくれたが、本来こういったライブラリはセキュリティ用途ではない -> ライブラリを使う側にも責務はあることは忘れないでおきたい ”

    urlsplit() と urlparse() API は入力の検証を行いません。他のアプリケーションが無効とみなす入力に対してエラ ーを発生させることはありません。また、他のアプリケーションではURLとみなされないような入力でも成功すること があります。これらのAPIの目的は、純粋さよりも実用的な機能性です。 https://docs.python.org/ja/3/library/urllib.parse.html#url-parsing-security を和訳 10 / 11

11. ３４回 初心者のためのセキュリティ勉強会 おわりに Pythonの標準ライブラリ urllib.parse で見つかった脆弱性を解説した URLの検証不備により、ブラックリスト形式のフィルタを回避される恐れ 今回の問題に限らずブラックリストでのフィルタリングは回避されがち -> 可能ならホワイトリストでやりましょう

    ` ` 11 / 11