Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webアプリケーションのユーザ入力検証

Avatar for Ryusei Ishikawa Ryusei Ishikawa
September 03, 2023
Technology
3
1.3k

 Webアプリケーションのユーザ入力検証

ここで話しました
https://connpass.com/event/290912/

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

September 03, 2023
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
73
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
170
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
710
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
67
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
3k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
720
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Avatar for Ryusei Ishikawa xryuseix
0
1.4k

Other Decks in Technology

See All in Technology
2025新卒研修・Webアプリケーションセキュリティ #弁護士ドットコム
Avatar for 弁護士ドットコム bengo4com
3
10k
Devinを使ったモバイルアプリ開発 / Mobile app development with Devin
Avatar for Yuki Anzai yanzm
0
110
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
Avatar for tascj tascj
10
1.4k
自治体職員がガバクラの AWS 閉域ネットワークを理解するのにやって良かった個人検証環境
Avatar for takeda_h takeda_h
2
360
GitHub Copilot coding agent を推したい / AIDD Nagoya #1
Avatar for tnir tnir
0
480
メルカリIBIS:AIが拓く次世代インシデント対応
Avatar for ktykogm 0gm
2
490
Amazon Bedrock AgentCore でプロモーション用動画生成エージェントを開発する
Avatar for Kiminori Yokoi nasuvitz
6
360
AIは変更差分からユニットテスト_結合テスト_システムテストでテストすべきことが出せるのか?
Avatar for Matsu mineo_matsuya
5
3k
Delegate authentication and a lot more to Keycloak with OpenID Connect
Avatar for Alexander Schwartz ahus1
0
240
マイクロモビリティシェアサービスを支える プラットフォームアーキテクチャ
Avatar for gr1m0h grimoh
1
140
株式会社ARAV 採用案内
Avatar for ARAV maqui
0
190
MCPサーバーを活用したAWSコスト管理
Avatar for Kaisei Arimura arie0703
0
140

Featured

See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.4k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.8k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
126
53k
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.3k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k

Transcript

  1. Webアプリケーションの ユーザ入力検証 xryuseix (@ryusei_ishika)

  2. 講演内で使用するソースコードについて https://github.com/SECCON/2023_beginnerslive これ 1. GitHubリポジトリへアクセスしてください 2. xryuseixフォルダの中のREADMEを読んでください 2

  3. 自己紹介 ID: xryuseix (Twitter: @ryusei_ishika) Webセキュリティと開発が好きです。 ctf4b 2023では以下の問題を提供しました。 • shaXXX

    • drmsaw • phisher2 3

  4. ユーザの入力をちゃんとチェックしてますか? これってstring? number? https://expressjs.com/ja/starter/hello-world.html 4

  5. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch この中身って保証されてる? 5

  6. ユーザの入力をちゃんとチェックしてますか? https://developer.mozilla.org/ja/docs/Web/API/Fetch_API/Using_Fetch undefinedにならない?大丈夫? 6

  7. Q1. if文書けば解決するのでは? A. プロパティの数が少なければそれで良いが、多い場合は大変 想定していないプロパティが含まれていないかチェックする 必要もある 7

  8. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか?? 8

  9. Q2. TypeScriptを使えば解決するのでは? A. えっこうですか??(2) プロパティが多かったり入れ子になってたりしたら 実装がかなり増えてキツくないですか? 9

  10. Q3. いやでもさ...... 󰬣「これって実行時エラーが出るだけで、 脆弱性にならんのとちゃうんか??」 😎「クックックッ......」 ※僕は大阪弁喋れません 10

  11. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 ここをユーザが自由に書き換えられる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/chall.js 問題サーバ: https://x-beginnerslive2023.deno.dev 11

  12. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • フラグはflagsオブジェクトにある • buyFlag関数でフラグが買える場合は 買ってretuenしている • 買えるフラグはuserとadminで異なる。

    userの場合はフラグが偽物で、admin の場合はフラグが高額 12

  13. 今回使用するサンプル問題 corCTF-2021 web/buymeより一部改変 • サーバはDeno.serveで実装されてお り、ユーザの入力はクエリパラメータで 受け取れる (今回Denoを使っていることに深い意 味はありません) •

    ユーザの入力はmain関数に送られ、 JSONをパースした後にroleが指定さ れているか確認する • その後、buyFlag関数にユーザ情報と ロール情報が送られる 13

  14. 今回使用するサンプル問題 ⚠次のスライドで答えを言及します 見たくない場合は1分くらい下の猿のモノマネしててください。 答えはレポジトリ内にも書かれています。 14

  15. 今回使用するサンプル問題(解説) こんな感じのJSONを送れば良いです。 buyFlag関数の呼び出しの箇所で、スプレッド構文を使っているため、 userオブジェクトの中身を書き 換えられます。 15

  16. prototype pollution 脆弱性を埋め込むパターンは他にも... https://www.youtube.com/watch?v=LUsiFV3dsK8&t=67s のコードを一部改変 16

  17. Zodという選択肢もある https://zod.dev/?id=basic-usage Zodは静的型推論による TypeScript ファーストのスキーマ検証ツールです。 文字列、数字、オブジェクトなどが特定のスキーマ (≒型※1 )に一致しているか確認することができます。 → ユーザの入力を検証することができる!

    文字列のスキーマ “tuna”は文字列なのでOK 12は文字列ではないのでエラー ※1 正確には違うが、そう考えた方がわかりやすいかもしれない 17

  18. Zodという選択肢もある https://zod.dev/ 18

  19. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 19

  20. まずはTypeScriptで書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/ xryuseix/chall.ts 前述の通り、単純にTypeScriptにした からといって修正できるとは限りません 20

  21. Zodを使って書き換えてみる https://github.com/SECCON/2023_beginnerslive/blob/main/xryuseix/fixed.ts Zodスキーマを定義 検証 21

  22. EmailやUrl、IPなど、 いろんな文字列に対して検証できる Zodなら様々な検証ができる 22

  23. • ユーザの入力を検証する事は 安全なアプリケーション開発において重要 • TypeScriptを使ったからといって ユーザの入力内容は保証できない • 入力を検証する方法の1つの手段として、 Zodというものがある まとめ

    思わぬ入力が与えられて ゾッと しないように、気をつけてコードを書こう! 23