Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webアプリケーションのユーザ入力検証

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Ryusei Ishikawa Ryusei Ishikawa
September 03, 2023
Technology
3
1.3k

 Webアプリケーションのユーザ入力検証

ここで話しました
https://connpass.com/event/290912/

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

September 03, 2023
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
“それなりに”安全なWebアプリケーションの作り方
Avatar for Ryusei Ishikawa xryuseix
0
580
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
120
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
310
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
940
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
85
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
4.5k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
810
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Avatar for Ryusei Ishikawa xryuseix
0
1.5k

Other Decks in Technology

See All in Technology
君はジョシュアツリーを知っているか?名前をつけて事象を正しく認識しよう / Do you know Joshua Tree?
Avatar for Y-KANOH ykanoh
4
130
スケールアップ企業でQA組織が機能し続けるための組織設計と仕組み〜ボトムアップとトップダウンを両輪としたアプローチ〜

Avatar for tarappo tarappo
4
370
Phase04_ターミナル基礎
Avatar for overflow ,Inc overflowinc
0
2.3k
Phase08_クイックウィン実装
Avatar for overflow ,Inc overflowinc
0
1.8k
20年以上続く PHP 大規模プロダクトを Kubernetes へ ── クラウド基盤刷新プロジェクトの4年間
Avatar for Yuichi Sugiyama oogfranz
PRO
0
250
Amazon Qはアマコネで頑張っています〜 Amazon Q in Connectについて〜
Avatar for Yuuki Yamashita yama3133
1
130
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
Avatar for Toru_Kubota toru_kubota
0
160
PostgreSQL 18のNOT ENFORCEDな制約とDEFERRABLEの関係
Avatar for Yasuo Honda yahonda
0
120
非同期・イベント駆動処理の分散トレーシングの繋げ方
Avatar for Ken ichikawaken
1
110
FastMCP OAuth Proxy with Cognito
Avatar for iganin hironobuiga
3
200
AIエージェント時代に必要な オペレーションマネージャーのロールとは
Avatar for KentaroFujii kentarofujii
0
100
開発チームとQAエンジニアの新しい協業モデル -年末調整開発チームで実践する【QAリード施策】-
Avatar for SmartHR 品質保証本部 qa
0
300

Featured

See All Featured
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
61
43k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
240k
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
91
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.5k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
480
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k

Transcript

  1. Webアプリケーションの ユーザ入力検証 xryuseix (@ryusei_ishika)

  2. 講演内で使用するソースコードについて https://github.com/SECCON/2023_beginnerslive これ 1. GitHubリポジトリへアクセスしてください 2. xryuseixフォルダの中のREADMEを読んでください 2

  3. 自己紹介 ID: xryuseix (Twitter: @ryusei_ishika) Webセキュリティと開発が好きです。 ctf4b 2023では以下の問題を提供しました。 • shaXXX

    • drmsaw • phisher2 3

  4. ユーザの入力をちゃんとチェックしてますか? これってstring? number? https://expressjs.com/ja/starter/hello-world.html 4

  5. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch この中身って保証されてる? 5

  6. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch undefinedにならない?大丈夫? 6

  7. Q1. if文書けば解決するのでは? A. プロパティの数が少なければそれで良いが、多い場合は大変 想定していないプロパティが含まれていないかチェックする 必要もある 7

  8. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか?? 8

  9. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか??(2) プロパティが多かったり入れ子になってたりしたら 実装がかなり増えてキツくないですか? 9

  10. Q3. いやでもさ...... 󰬣「これって実行時エラーが出るだけで、 脆弱性にならんのとちゃうんか??」 😎「クックックッ......」 ※僕は大阪弁喋れません 10

  11. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 ここをユーザが自由に書き換えられる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/chall.js 問題サーバ: https://x-beginnerslive2023.deno.dev 11

  12. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • フラグはflagsオブジェクトにある • buyFlag関数でフラグが買える場合は 買ってretuenしている • 買えるフラグはuserとadminで異なる。

    userの場合はフラグが偽物で、admin の場合はフラグが高額 12

  13. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • サーバはDeno.serveで実装されてお り、ユーザの入力はクエリパラメータで 受け取れる (今回Denoを使っていることに深い意 味はありません) •

    ユーザの入力はmain関数に送られ、 JSONをパースした後にroleが指定さ れているか確認する • その後、buyFlag関数にユーザ情報と ロール情報が送られる 13

  14. 今回使用するサンプル問題 ⚠次のスライドで答えを言及します 見たくない場合は1分くらい下の猿のモノマネしててください。 答えはレポジトリ内にも書かれています。 14

  15. 今回使用するサンプル問題(解説) こんな感じのJSONを送れば良いです。 buyFlag関数の呼び出しの箇所で、スプレッド構文を使っているため、 userオブジェクトの中身を書き 換えられます。 15

  16. prototype pollution 脆弱性を埋め込むパターンは他にも... https://www.youtube.com/watch?v=LUsiFV3dsK8&t=67s のコードを一部改変 16

  17. Zodという選択肢もある https://zod.dev/?id=basic-usage Zodは静的型推論による TypeScript ファーストのスキーマ検証ツールです。 文字列、数字、オブジェクトなどが特定のスキーマ (≒型※1 )に一致しているか確認することができます。 → ユーザの入力を検証することができる!

    文字列のスキーマ “tuna”は文字列なのでOK 12は文字列ではないのでエラー ※1 正確には違うが、そう考えた方がわかりやすいかもしれない 17

  18. Zodという選択肢もある https://zod.dev/ 18

  19. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 19

  20. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 前述の通り、単純にTypeScriptにした からといって修正できるとは限りません 20

  21. Zodを使って書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/fixed.ts Zodスキーマを定義 検証 21

  22. EmailやUrl、IPなど、 いろんな文字列に対して検証できる Zodなら様々な検証ができる 22

  23. • ユーザの入力を検証する事は 安全なアプリケーション開発において重要 • TypeScriptを使ったからといって ユーザの入力内容は保証できない • 入力を検証する方法の1つの手段として、 Zodというものがある まとめ

    思わぬ入力が与えられて ゾッと しないように、気をつけてコードを書こう! 23