主にプログラミングに関して。Python, .NET Framework(C#), JavaScript, その他いくらか。
記事にあるサンプルやコードは要検証。使用に際しては責任を負いかねます

スポンサーサイト

                
tags:
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

MongoDB: インジェクションを考える

                
 データベースを扱う上で付いて回るのがインジェクションというセキュリティの問題である。データベースにあるデータ(些末なものからIDやパスワードまで)を見境なくぶっこぬかれたり、認証に使っている場合は認証を偽装されたりと対策をしない理由はない。MongoDBを使う場合、どういうことを気にすればいいかを@ITの記事を参考に検証する。このブログではPythonを主に扱っているので、PyMongoでMongoDBへ接続するときの諸々を検証する。


 まず前提としてアプリケーションでデータベースを使いたければ、信頼できるところが作っているドライバを使うこと。PythonとMongoDBの組み合わせならPyMongoがある。MongoDBはJavaScriptを書くことでデータの挿入、更新、削除などができる。PyMongoはこれをPythonでできるようにするものだが、基本的な部分ではJavaScriptとPythonの文法の差は現れない。JavaScriptで書いていたものをほぼそのままPythonで書くだけで使える。

 下準備としてMongoDBを立ち上げ、PyMongoを使って接続する。インジェクションで認証偽装を試みるので、sessionコレクションに、インジェクションが成功したらドキュメントが得られるように一件挿入しておく。
import pymongo

db = pymongo.MongoClient("localhost", 27017).test_db
if not db.session.find_one():
db.session.insert({"session":"session_id_str"})


とりあえず下記のコードを実行してみる。sessionコレクションから、sessionキーが文字列”x”のドキュメントを探し、件数を返す命令だ。
print db.session.find({"session":"x"}).count()

sessionキーが文字列”x”のドキュメントはないから、インタープリタには0が表示される。この条件では該当ドキュメントがsessionコレクションにはないから、認証はとおらないということ。で、正規の方法で認証をとおしたければ正規のキーを入れればいい。
print db.session.find({"session":"session_id_str"}).count()


1.演算子のインジェクション
参考:http://www.atmarkit.co.jp/ait/articles/1305/23/news004.html
PHPなどの言語には、配列/連想配列と解釈できる形式で書かれたリクエストパラメータを、プログラム内で配列/連想配列に展開する機能があります
Pythonの基本機能にはそんなことをするものはない。なのでそういう機能を暗黙のうちに提供する可能性があるのはフレームワークのほうなので、フレームワークがクライアントからPOSTされたりしたパラメータを暗黙のうちに文字列から辞書型などに変換して返すような仕様がないか確認しておく。例えばwebapp2の場合、以下のように書いておけばOK.
s_id = self.request.get("s_id")
db.session.find({"session":s_id})



2.クライアントから送られたJSONをそのまま辞書型にして使うのは避ける
 問題ない使いかた。データベースから文字列”session_id_xxx”に一致するセッションIDを持つドキュメントを探す。
s_id = "x"
print db.session.find({"session":s_id}).count()

 json.loadsを使えば、JSON形式で書かれた文字列から辞書型を作れる。使いかたによっては手っ取り早くなる。
json_str = """{"session":"x"}""" # クライアントからJSON形式で左記のデータが送られてきたとする
obj = json.loads(json_str)
print db.session.find(obj).count()

 だけど上記のように書くのはまずい。悪用されると、ドキュメント検索の条件を様々に変えることができるようになり、インジェクションのきっかけに。下記では非等価を示す演算子を使って、文字列”x”に一致しないセッションIDを持つドキュメントを検索するようになる。
injection_json = """{"session":{"$ne":"x"}}"""
obj = json.loads(injection_json)
print db.session.find(obj).count()

場合によっては変数部分はどの型が来るか管理する。クライアントから送られたJSONを辞書型に変換してそのまま使わない。
obj = json.loads(injection_json)
isinstance(obj["session"], str)
db.session.find({"session":obj["session"]})



3.サーバサイドでJavaScriptを使わないようにする
参考:http://www.atmarkit.co.jp/ait/articles/1305/23/news004_2.html
 MongoDBではJavaScriptが使える。PyMongoから使う場合でも、JavaScriptコードを埋め込むことができる。だがそれは任意のコードを埋め込むチャンスになるので使用を避ける。たとえば参考記事ではパラメータを大文字化して部分一致検索をかけているが、それはPyMongoでJavaScriptを埋め込まなくても可能。
foo = {"$regex":"foo".upper()}
print db.session.find({"foo":foo}).count()

 JavaScriptの実行を不許可にしておくのも手。
http://docs.mongodb.org/manual/reference/configuration-options/#security.javascriptEnabled



 SQLでは文の構成に文字列置換を使って問題になることがある。開発者が書いた文を手玉にとりつつ、勝手なSQL文を書かせてしまうなど。
SELECT * FROM users WHERE name = '(入力値)';

SELECT * FROM users WHERE name = 't' OR 't' = 't';
上記はWikipediaから部分的に抜粋した。
 PyMongoを使って適切に書けば上記のようなことは起こりづらい。
db.users.find({"name":input_value})
ただやっぱり油断していると付け入るところはあるようで、evalやexecはそもそも使わないものとして、json.loadsもちょっと使用を差し控えたほうが無難だと考えられる。使いたければ型チェックなどの厳重に設計されたバリデーションを経ること。あとデフォルトではJavaScriptが動くようになっているので、それは切ってしまうのが手っ取り早い。
            

コメントの投稿

非公開コメント

プロフィール

hMatoba

Author:hMatoba
Github

最新記事
リンク
作ったものなど
月別アーカイブ
カテゴリ
タグリスト

検索フォーム
Amazon
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。