devkuma – Security

セキュアコーディングの概要

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

セキュアコーディングは、ソフトウェアの中でも発生しやすいアプリケーション脆弱性を減らすための取り組みです。

影響

弱点は脆弱性の原因となる欠陥であり、脆弱性は実際の攻撃や事故に利用され得る弱点です。

対策

CWEは代表的な弱点パターンを分類し、CVEは公開された脆弱性を識別します。

Secure Coding Guide

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

このガイドは、アプリケーション開発で発生しやすいセキュアコーディング上の弱点と対策をまとめたものです。

エラーメッセージによる情報漏えい

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

詳細なエラーメッセージは、スタックトレース、パス、SQL文、サーバーバージョン、内部識別子を漏えいさせる可能性があります。

影響

利用者には一般的なメッセージだけを返し、詳細な診断情報は保護されたサーバー側ログに記録します。

対策

フレームワークやWASのエラーページを設定し、内部例外の詳細をクライアントに表示しないようにします。

例

try {
    ....
} catch (Exception e) {
    e.printStackTrace();
    return e.getMessage();
}

try {
    ...
} catch (Exception e) {
    System.out.println("ERROR1");
    return "ERROR1";
}

SQLインジェクション

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

SQLインジェクションは、信頼できない入力をSQL文へ直接連結したときに発生します。

影響

攻撃者はデータの参照、改ざん、削除、認証回避を行う可能性があります。

対策

文字列連結ではなく、プレースホルダ、プリペアドステートメント、ORMのバインド、厳格な入力検証を使用します。

例

try {
    String tableName = props.getProperty("jdbc.tableName");
    String name = props.getProperty("jdbc.name");
    String query = "SELECT * FROM " + tableName + " WHERE Name =" + name;
    stmt = con.createStatement(query);
    rs = stmt.executeQuery();
   ...
} catch (SQLException sqle) { ... } finally { ... }

<select id="selectByUserId" resultType="com.devkuma.dto.User">
    SELECT user_id,
      FROM devkuma_user
     WHERE user_id = '${userId}'
</select>

String tableName = props.getProperty("jdbc.tableName");
String name = props.getProperty("jdbc.name");
String query = "SELECT * FROM " + tableName + " WHERE Name =" + name;
stmt = con.prepareStatement(query);
rs = stmt.executeQuery();
...

String tableName = props.getProperty("jdbc.tableName");
String name = props.getProperty("jdbc.name");
String query = "SELECT * FROM ? WHERE Name = ?";
stmt = con.prepareStatement(query);
stmt.setString(1, tableName); stmt.setString(2, name);
rs = stmt.executeQuery();
...

OAuth 2.0

kc@example.com (kc kim) — Wed, 04 Oct 2017 22:41:52 +0900

概要

OAuth 2.0は、リソース所有者のパスワードを共有せずに、クライアントへ保護リソースへの限定アクセスを許可する仕組みです。主な役割はリソース所有者、クライアント、認可サーバー、リソースサーバーです。認可コード、クライアントクレデンシャル、リフレッシュトークンなどのフローは、クライアント種別と信頼レベルに応じて選択します。

重要ポイント

認証情報とトークンを保護します。
現行標準と保守されているライブラリを優先します。
信頼境界と有効期限のルールを検証します。

クロスサイトスクリプティング (XSS)

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

XSSは、攻撃者が制御するスクリプトを他の利用者のブラウザで実行させる脆弱性です。

影響

Reflected XSSは注入されたスクリプトを即時に返し、Stored XSSは悪意ある内容をサーバーに保存します。

対策

出力を文脈に応じてエンコードし、入力を検証し、危険なDOM APIを避け、Content-Security-Policyなどのヘッダーを適用します。

例

<tr>
  <td colspan="2">${contents}</td>
</tr>

<tr>
     <td colspan="2"><c:out value="${contents}"/></td>
</tr>

String param = request.getParameter("Param");
param = param.replaceAll("<script>", "");
param = param.replaceAll("</script>", "");

<c:out value="${param}" escapeXml="false"></c:out>

信頼できないURLへの自動接続

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

オープンリダイレクトは、攻撃者が指定したURLへアプリケーションが利用者を転送すると発生します。

影響

正規サイトから転送が始まるため、フィッシング、トークン窃取、信頼の悪用につながります。

対策

信頼済みの遷移先だけを許可し、リダイレクトIDをサーバー側URLに対応付け、外部または不正な遷移先を拒否します。

例

<html>
<head>
</head>
<body>
    URL : ${param.url}
  <%
       if (request.getParameter("url") != null)
           response.sendRedirect(request.getParameter("url"));
  %>
</body>
</html>

システムデータ情報の漏えい

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

システムデータの漏えいは、内部設定、ディレクトリパス、アカウント情報、環境情報を外部へ出す問題です。

影響

これらの情報は、攻撃者がシステムを理解し、より有効な攻撃を選ぶ助けになります。

対策

診断情報の露出を最小化し、レスポンスを無害化し、管理エンドポイントを制限し、デプロイ時のエラー処理を確認します。

例

...
public void foo() {
    try {
        go();
    } catch(IOException e) {
        out.println(e.getMessage());
    }
}
...

...
public void foo() {
    try {
        go();
    } catch(IOException e) {
        System.err.println("IOException Occurred");
    }
}
...

危険な形式のファイルアップロード

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

危険なファイルアップロードは、実行可能スクリプトや能動的コンテンツが保存され、後で実行される問題です。

影響

拡張子とMIMEタイプを検証し、ファイル内容を確認し、ファイル名を変更し、アップロード先をWebルート外に置きます。

対策

マルウェアスキャンを実施し、サイズ、個数、権限の制限を適用します。

パス操作とリソース挿入

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

パス操作は、利用者入力がファイルパスやリソース識別子を制御すると発生します。

影響

攻撃者は任意ファイルの読み取り、リソースの上書き、制限データへのアクセスを行う可能性があります。

対策

パスを正規化し、リソース名の許可リストを使い、トラバーサル文字列を拒否し、解決後のパスにアクセス制御を適用します。

例

public void download(HttpServletRequest request, HttpServletResponse response) throws Exception {
    String filepath = request.getParameter("filepath");

    if (filepath == null)
        return;

    filepath= PathUtil.getHome() + "/web/board_attach/" + filepath;

    DownloadUtil.download(response, filepath);
}

public void download(HttpServletRequest request, HttpServletResponse response) throws Exception {
    String filepath =request.getParameter("filepath");

    if (filepath == null)
        return;

    filepath = filepath.replaceAll("/","");
    filepath = filepath.replaceAll ("\\\\","");
    filepath = filepath.replaceAll ("\\.","");
    filepath = filepath.replaceAll ("&","");
    filepath = PathUtil.getHome() + "/web/board_attach/" + filepath;

    DownloadUtil.download(response, filepath);
}

ハードコードされたパスワード

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

ハードコードされたパスワードや秘密情報は、ソースコード、バイナリ、バックアップ、ログから漏えいしやすくなります。

影響

一度漏えいすると、同じ秘密情報を使うすべての環境が侵害される可能性があります。

対策

シークレット管理ツールや保護された環境設定を使い、秘密情報をローテーションし、ソース管理に含めないようにします。

例

public Connection DBConnect(String url, String id) {
    try {
        String url = props.getProperty("url");
        String id = props.getProperty("id");
        conn = DriverManager.getConnection(url, id, "tiger");
    } catch (SQLException e) {
        System.err.println("...");
    }
    return conn;
}

public Connection DBConnect(String url, String id) {
    try {
        String url = props.getProperty("url");
        String id = props.getProperty("id");
        String pwd = props.getProperty("passwd");
    ...
    byte[] decrypted_pwd = cipher.doFinal(pwd.getBytes());
    pwd = new String(decrypted_pwd);
    conn = DriverManager.getConnection(url, id, pwd);
    } catch (SQLException e) {
        System.err.println("...");
    }
    return conn;
}

脆弱なパスワードの許可

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

脆弱なパスワードポリシーは、短い、一般的、または予測しやすいパスワードを許可します。

影響

これにより、総当たり攻撃、認証情報リスト攻撃、辞書攻撃の成功率が高まります。

対策

十分な長さを要求し、漏えい済みパスワードを拒否し、試行回数を制限し、多要素認証をサポートします。

例

try {
  String id = request.getParameter("id");
  String passwd = request.getParameter("passwd");
}
catch (SQLException e){ ...... }

try {
    String id = request.getParameter("id");
    String passwd = request.getParameter("passwd");
    if (passwd == null || "".equals(passwd))
        return;
    if (!passwd.matches("") && (passwd.indexOf("@!#") > 0) && (passwd.length() > 7)) {
      ...
  } catch (SQLException e) { ...... }

ソルトなしの一方向ハッシュ関数の使用

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

ソルトなしのハッシュは、同じパスワードに同じ値を生成し、事前計算攻撃に弱くなります。

影響

パスワードごとに一意なソルトを使うことで、レインボーテーブルの単純な再利用を防げます。

対策

bcrypt、scrypt、Argon2、PBKDF2などのパスワードハッシュ方式を適切なコスト設定で使用します。

例

import java.security.MessageDigest;

public byte[] getHash(String password) throws NoSuchAlgorithmException {
    MessageDigest digest = MessageDigest.getInstance("SHA-255");
    digest.reset();
    return digest.digest(password.getBytes("UTF-8"));
}

脆弱な暗号アルゴリズムの使用

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

MD5、SHA-1、DES、RC4などの脆弱な暗号アルゴリズムは、十分な保護を提供できません。

影響

衝突、小さい鍵長、既知の攻撃により、完全性や機密性が損なわれる可能性があります。

対策

SHA-256以上のハッシュ、AES-GCM、現代的なTLS設定など、現在推奨されるアルゴリズムとライブラリを使用します。

例

public String getCryptedPassword(String salt, String password) {
    return new MD5HashGenerator().getValue(password);
}

public String getSalt(String userId, String password) {
    return SHA256HashGenerator.getInstance().getValue("--" + Calendar.getInstance().getTime().toString() + "--" + userId + "--");
}

public String getCryptedPassword(String salt, String password) {
    return SHA256HashGenerator.getInstance().getValue("nest--" + salt + "--" + password + "--");
}

反復認証試行を制限する機能の欠如

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

反復認証試行の制限がないと、攻撃者はパスワード推測を自動化できます。

影響

過剰な試行はサービス可用性にも影響します。

対策

レート制限、一時ロック、段階的遅延、IPとアカウント監視、多要素認証を適用します。

OSコマンドインジェクション

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

OSコマンドインジェクションは、利用者入力がシェルコマンドへ渡されると発生します。

影響

攻撃者はアプリケーション権限で任意のコマンドを実行できる可能性があります。

対策

シェル実行を避け、安全なAPIを直接呼び出し、引数を許可リスト化し、エスケープは最後の手段とし、最小権限で実行します。

例

Set<String> filterSet = new HashSet<String>();
filterSet.add("del");
filterSet.add("rmdir");
String year = request.getParameter("year");
for (String filter : filterSet) {
    year = year.replace(filter, "##" + filter.trim() + "## ");
}
File exeFile = new File(...);
FileUtil.write(exeFile, file.getAbsolutePath() + " " + year);
Process process = Runtime.getRuntime().exec(exeFile.getPath(), null, file.getParentFile());

ヌルポインタ逆参照

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

ヌルポインタ逆参照は、nullの可能性がある値をそのまま使用すると発生します。

影響

アプリケーションのクラッシュやサービス拒否につながる可能性があります。

対策

戻り値を確認し、不正状態では早期に失敗させ、適切な場所でOptional型のAPIを使い、利用箇所の近くでnullチェックを行います。

例

public Object returnNull() {
    return null;
}

public void testNull() {
    String str = returnNull().toString();
}

public void getInputFromFile() {
    try {
    BufferedReader br = new BufferedReader(new FileReader("input.dat"));
    String str = br.readLine();
    str.toUpperCase();
   ...
}

public class ForwardNullEx {
    public void test() {
        String uppercased = toUpperCase(null);
    }

    public String toUpperCase(String arg) {
       arg.toUpperCase();
    }
}

public class UncheckedNullEx {
    public void test(String x) {
        String str = "";
        System.out.println(str);
        if(x != null) {
            str = x.toUpperCase();
        }
        x.toString();
    }
}

不適切なリソース解放

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

不適切なリソース解放は、ファイル、ストリーム、ソケット、DB接続、ロックが閉じられないと発生します。

影響

リソース漏れはメモリ、ハンドル、接続、ロックを枯渇させ、可用性を低下させます。

対策

try-with-resourcesやfinallyブロックなどの構造化された解放を使い、成功時と失敗時の両方で解放されることを確認します。

例

try {
    OutputStream os = response.getOutputStream();
    FileInputStream fis = new FileInputStream(file);
    FileCopyUtils.copy(fis, os);
    fis.close();
    return true;
} catch (IOException e) {
    logger.error(e, e);
}

OutputStream os = null;
FileInputStream fis = null;
try {
    os = response.getOutputStream();
    fis = new FileInputStream(file);
    FileCopyUtils.copy(fis, os);
} catch (IOException e) {
    logger.error(e.getMessage());
} finally {
    try {
        fis.close();
        os.close();
    } catch (IOException e) {
        logger.error(e.getMessage());
    }
}

OutputStream os = null;
FileInputStream fis = null;
try {
    os = response.getOutputStream();
    fis = new FileInputStream(file);
    FileCopyUtils.copy(fis, os);
} catch (IOException e) {
    logger.error(e.getMessage());
} finally {
    try {
         if (fis =! null)
             fis.close();
    } catch (IOException e) {
        logger.error(e.getMessage());
    }
    try {
         if (os =! null)
             os.close();
    } catch (IOException e) {
        logger.error(e.getMessage());
    }    
}

不適切な認可

kc@example.com (kc kim) — Sat, 26 May 2018 23:03:00 +0900

概要

不適切な認可は、認証済み利用者が権限外の機能やデータにアクセスできる問題です。

影響

機密データの漏えいや不正な変更につながります。

対策

すべてのリクエストでサーバー側認可を実施し、オブジェクト所有者を確認し、デフォルト拒否にします。

Kerberos

kc@example.com (kc kim) — Wed, 21 Dec 2022 16:27:45 +0900

概要

Kerberosは、信頼されたKey Distribution Centerが発行するチケットによって利用者を認証します。主な構成要素はクライアント、サービスサーバー、Authentication Server、Ticket Granting Server、暗号化されたチケットです。この方式はシングルサインオンを支援しますが、時刻同期とKDCの可用性に強く依存します。

重要ポイント

認証情報とトークンを保護します。
現行標準と保守されているライブラリを優先します。
信頼境界と有効期限のルールを検証します。

例

$ yum install -y krb5-workstation krb5-libs

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 allow_weak_crypto = true

[realms]
  EXAMPLE.COM = {
  kdc = kdc.example.com.:88
  admin_server = kdc.example.com
  default_domain = example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

$ kinit

$ klist

SAML (Security Assertion Markup Language)

kc@example.com (kc kim) — Thu, 15 Sep 2022 11:36:00 +0900

概要

SAMLは、IDプロバイダーとサービスプロバイダーの間で認証と認可のアサーションを交換するXMLベースの標準です。企業向けシングルサインオン、特に組織とSaaSサービスの連携で広く使われます。

重要ポイント

認証情報とトークンを保護します。
現行標準と保守されているライブラリを優先します。
信頼境界と有効期限のルールを検証します。

暗号学

kc@example.com (kc kim) — Tue, 05 Oct 2021 10:24:00 +0900

概要

一方向暗号化は、元の値を実用的に復元できないようにハッシュ関数でデータを変換します。双方向暗号化は、正しい鍵で後から復号できるようにデータを暗号化します。ハッシュは完全性確認やパスワード検証に、暗号化はデータの復元が必要な場合に使われます。

重要ポイント

認証情報とトークンを保護します。
現行標準と保守されているライブラリを優先します。
信頼境界と有効期限のルールを検証します。

JWTとは

kc@example.com (kc kim) — Fri, 07 May 2021 09:37:47 +0900

概要

JWTは、ドットで区切られたヘッダー、ペイロード、署名で構成されます。ペイロードには発行者、主体、利用者、有効期限、アプリケーション固有のデータなどのクレームを格納します。ペイロードは暗号化ではなくBase64URLエンコードであるため、JWEなどの暗号化層を使わない限り機密情報を入れるべきではありません。

重要ポイント

認証情報とトークンを保護します。
現行標準と保守されているライブラリを優先します。
信頼境界と有効期限のルールを検証します。

例

HEADER.PAYLOAD.SIGNATURE

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

{
  "alg": "HS256",
  "typ": "JWT"
}

{
  "http://www.devkuma.com/": true
}