Q&A
ご回答いただきありがとうございます。
それでは、攻撃文字列を投げて例外が投げられたということは、バリデーションを組むことになると思います。上記の攻撃文字列の場合、どのようなバリデーションを組む方が良いかをお教えいただけませんか?
書式文字列攻撃を防ぐためのバリデーションの掛け方がわからないのです。
表題の件ですが、現在CakePHP3でアプリケーションの開発を行なっています。
作成した機能について、セキュリティ診断ツールとしてOWASP ZAPを使用しています。
その際、以下のようなエラーが発生しており、対処法について困っております。
| Medium | 書式文字列エラー |
|---|---|
| Description | A Format String error occurs when the submitted data of an input string is evaluated as a command by the application. |
| URL | http://xxx.xxx.xxx.xxx/aplication/hoge |
| Method | POST |
| Parameter | _method |
| Attack | ZAP %1!s%2!s%3!s%4!s%5!s%6!s%7!s%8!s%9!s%10!s%11!s%12!s%13!s%14!s%15!s%16!s%17!s%18!s%19!s%20!s%21!n%22!n%23!n%24!n%25!n%26!n%27!n%28!n%29!n%30!n%31!n%32!n%33!n%34!n%35!n%36!n%37!n%38!n%39!n%40!n |
| ・・ | ・・・ |
| Instances | 25 |
| Solution | Rewrite the background program using proper deletion of bad character strings. This will require a recompile of the background executable. |
| Other information | Potential Format String Error. The script closed the connection on a microsoft format string error |
書式文字列エラーについて、攻撃に使用されたパラメータを実際にコードに組み込んで動作を確認したところ、
攻撃による不正な動作はなく、DB登録の時に型が合わないなどで例外を投げて終了されます。
- このような現状で、CakePHP3を用いたプログラムでは
「%1!s%2!s%3!s%4!s%5!s%6!s%7!s%8!s%9!s%10!s%11!s%12!s%13!s%14!s%15!s%16!s%17!s%18!s%19!s%20!s%21!n%22!n%23!n%24!n%25!n%26!n%27!n%28!n%29!n%30!n%31!n%32!n%33!n%34!n%35!n%36!n%37!n%38!n%39!n%40!n」のような入力値に対して、しっかりと対応されていると言って良いのでしょうか?
-
また対応されているならば、OWASPでエラーが生じる原因は何か?
-
対応されているとは言えない場合は、どのようにプログラムを修正すれば良いか?
どなたかお詳しい方がいらっしゃいましたら、これらに回答していただけないでしょうか?
どうぞよろしくお願いいたします。
回答2件
0
ベストアンサー
本当に書式文字列攻撃に脆弱なのでしょうか? パラメータ名は _method ということですから、書式の可能性もなくはないですが、違うような気がします。
バリデーションを行う歳の基本は、アプリケーションとして受け入れる書式や文字種としてどうかということです。たとえば、本当に書式文字列攻撃なのであれば、パラメータ _methodは %10d などの書式の形式になっているはずですが、そうなっていますか?
「書式文字列攻撃を防ぐためのバリデーションの掛け方」というのは簡単ではありません。本来どのようなパラメータがくる「はず」なのかを示していただくか、該当する箇所のソースコードを教えていただかないと、回答は難しいです。
投稿2017/05/23 11:41
総合スコア11705
0
例外を投げて終了と言う事で、「攻撃文字列を投げ込んだら、攻撃と理解せずに処理された」と判断されているのでしょう。
入力文字が不正だというエラーを返して再入力を促す等すればよいのでは。
と言うか、Solutionのところで似たような事書かれてると思うのですが。
投稿2017/05/23 04:55
総合スコア5405
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/05/24 00:51 編集
2017/05/24 04:05
2017/05/24 07:29