質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
GET

GETとはHTTPが対応するリクエストメソッドの一つです。クライアントからサーバーへ送られたURLパラメータのデータを取得する時必要がある時に使われます。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

Q&A

解決済

1回答

860閲覧

コマンドラインで ユーザー入力値を渡す場合のセキュリティ対策

pac894398

総合スコア429

GET

GETとはHTTPが対応するリクエストメソッドの一つです。クライアントからサーバーへ送られたURLパラメータのデータを取得する時必要がある時に使われます。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

0グッド

0クリップ

投稿2018/04/28 12:17

node.js で シェルを実行するのに get の 値を使用しています。

html に表示する場合は php だと htmlspecialchars などといった対策があると思います。

そのような感じで 必要な対策を教えてください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pac894398

2018/04/29 01:19 編集

低評価付けるぐらいなら 方向性を回答してください。非常に不快です。
guest

回答1

0

ベストアンサー

汎用的な関数はないと思います。どのようなものを渡すのかを決め、シェル特有の記号が含まれないよう正規表現でチェックするしかないでしょう。

例えば、

  • 数字0-9と英字a-zA-Zのみ
  • 1文字以上256文字以下

というのであれば/^[0-9a-zA-Z]{1,256}$/にマッチするかで確認できます(複数行フラグ"m"を付けるとセキュリティーホールになる場合がありますので、絶対に付けてはいけません)。記号やスペースを含みたいという場合、どのような記号を除外するかは、使用するシェルによって異なります。OSによってシェルが異なるため一概には言えません。""囲めば安全とか、\でエスケープするとかは、使用するシェルがわかった上で、そのシェルに合わせて慎重に実装する必要があります。また、ファイル名を指定する場合、"/"でルートアクセス、".."で親ディレクトリにアクセスなどが可能になりますので、それらを考慮する必要があります。フルパスに変換して指定のディレクトリ以下であることを確認とかしないと、予期せぬデータの破壊や情報漏洩に繋がります。

いずれの場合も、一歩間違えればセキュリティーホールになります。英数字のみと言った限定的な物でないと難しいでしょう。信頼できない文字列をシェルに渡さなくてもいいように設計を見直した方が良いかもしれません。

投稿2018/04/28 21:19

raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/04/28 22:52

これって実際どれぐらい危険なんですかね? 結局、ユーザ権限がないと何も出来ないはずなので、入力者と出力先のシェルの所有者が同じであれば、危険はない気もします。
raccy

2018/04/28 23:33 編集

やばさ的には2014年に問題になったシェルショック脆弱性と同じレベルです。あちらは、環境変数経由で何でも実行可能という物でしたが、その時あらゆる攻撃手段が考えられました。 まずは、プロセス権限では見えるけど本来はアクセス制限されていて外部から見えないファイルが全て取られてしまうこと。これは序の口で、他サーバへの攻撃に使われる、ボットを仕込まれてボットネットの一員になる、仮想通貨のマインニングに使われる、ページを書き換えられて水飲み場攻撃に利用される、等といった自分だけではなく他の人への迷惑にも繋がります。SE Linuxが有効であればある程度は防げますが、完全ではありません。再起動したくないからとカーネルアップデートを怠って、カーネルにroot昇格の脆弱性が残っていたりすると、root取られてサーバー完全乗っ取りすらあり得ます。
退会済みユーザー

退会済みユーザー

2018/04/29 00:30

ちょっと理解が追いついていないですが、並んでる単語からすると不穏そうですね。 人の質問で聞き続けるには横道にそれ過ぎなので、自習してみます^^; コメントありがとうございました!
pac894398

2018/04/29 01:31

ご回答ありがとうございます。 今回は 外部からわたされたURLを渡す必要があります。 テキストファイルにでも書き込んで そのファイル名を渡した方が 安全かもしれませんね...。
raccy

2018/04/29 01:52

どうしても外部コマンドをそのまま実行としたい場合は、シェル経由になるchild_process.exec等ではなくシェルを経由しないchild_process.execFileを使うという方法もありますよ。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問