forked from php/doc-ja
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy patherrors.xml
146 lines (144 loc) · 7.53 KB
/
errors.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: ae725a44023db78b9f6e9d2a0baac8c8dc337d38 Maintainer: shimooka Status: ready -->
<!-- CREDITS: hirokawa -->
<chapter xml:id="security.errors" xmlns="http://docbook.org/ns/docbook">
<title>エラーのレポート</title>
<para>
PHPのセキュリティに関して、2種類のエラー出力があります。一つは、セ
キュリティ向上に役立つものであり、もう一つは、セキュリティ上有害な
ものです。
</para>
<para>
標準的な攻撃手法の中に不完全なデータをシステムに送信し、返されるエ
ラーの種類と内容を調べることにより、システムを調べるというものがあ
ります。これにより、システムのクラッカーがありうる弱点を調査するた
めにそのサーバーに関する情報を調べることが可能になります。
例えば、ある攻撃者が事前のフォーム投稿の際にあるページに関して収集
した情報を持っている場合、変数を上書きしたり、修正したりしようとす
るかもしれません。
<example>
<title>カスタムHTMLページにより変数を攻撃する</title>
<programlisting role="php">
<![CDATA[
<form method="POST" action="attacktarget?username=badfoo&password=badfoo">
<input type="hidden" name="username" value="badfoo">
<input type="hidden" name="password" value="badfoo">
</form>
]]>
</programlisting>
</example>
</para>
<para>
通常返されるPHPのエラーは、エラーを生じた関数やファイル、エラーを
発生したPHPファイル、エラーを発生した行番号のような情報が含まれて
おり、スクリプトをデバッグする開発者に非常に有用です。これらが調べ
ることができる情報の全てです。デバッグ目的でPHPの開発者が
<function>show_source</function>,
<function>highlight_string</function>,
<function>highlight_file</function> を使用することはまれではありま
せん。しかし、実用サイトでは、これは秘密の変数、未確認の構文、その
他の危険な情報を公開することになってしまいます。特に危険なのは、
組み込みのデバッグハンドラを有する既知のソースからのコードを実行して
いるか、一般的なデバッグ技法を使用している場合です。攻撃者が、使用し
ている一般的な技法を特定できた場合、次のようにあるページに様々な一般
的なデバッグ用文字列を送信することによりしらみつぶしに攻撃しようとす
るかもしれません。
<example>
<title>一般的なデバッグ変数を探す</title>
<programlisting role="php">
<![CDATA[
<form method="post" action="attacktarget?errors=Y&showerrors=1&debug=1">
<input type="hidden" name="errors" value="Y">
<input type="hidden" name="showerrors" value="1">
<input type="hidden" name="debug" value="1">
</form>
]]>
</programlisting>
</example>
</para>
<para>
エラー処理の方法に関わらず、エラーを調べる機能は、攻撃
者により多くの情報を与えることにつながります。
</para>
<para>
例えば、多くの一般的なエラー形式では、システムはPHPを実行している
ことを示します。攻撃者が <literal>.html</literal> ページを調べ、(システムの既知の弱点
を探すために)誤ったデータを送信することによりバックエンドを調べた
いと思った場合、システムがPHPによって構築されていることを知り得る
可能性があります。
</para>
<para>
関数エラーは、システムが特定のデータベースエンジンが実行しているこ
と、または、Webページのプログラム内容や設計に関する鍵を示すことが
あります。これにより、データベースポートをオープンしたり、Webペー
ジに固有のバグや弱点を調べるといったより詳細な調査を行うことが可能
となります。例えば、異なった不正なデータを送信することにより、攻撃
者は、(エラー行番号から)そのスクリプトの異なる場所を調べることと同
時にそのスクリプトの認証の順番を定義することが可能です。
</para>
<para>
ファイルシステムまたは一般的なPHPエラーは、Webサーバーが有する許可属
性やWebサーバーのファイル構造を示すことがあります。エラーコードを書
く開発者は、元は秘密の情報を容易に公開することにより、この問題を悪
化させる可能性があります。
</para>
<para>
この問題に対しては3種類の対策があります。最初の対策は、全ての関数
をよく調べ、大部分のエラーの修正を試みることです。2番目は、実行す
るコードのエラーリポートを完全に無効にすることです。3番目は、
PHPのカスタムエラー処理関数を使用して独自のエラーハンドラを作成す
ることです。システムのセキュリティポリシーに基づき、これらの3種類
の対策が適用可能かどうかを判定します。
</para>
<para>
この問題を事前に防止する手段の一つは、PHPに組み込まれている
<function>error_reporting</function>機能を使用することです。これにより、
コードを安全にするための手がかりが得られ、危険と思われる変数が使用
されている部分をみつけることが可能です。実使用の前に <constant>E_ALL</constant>
を指定してコードをテストすることにより、変数が他の手段で汚染されたり、修正さ
れたりする可能性がある部分を簡単に見つけることが可能です。
実使用の準備ができた際には、あなたのコードをプローブから保護するために
<function>error_reporting</function> を 0 に設定するか、&php.ini;
のオプション <literal>display_errors</literal> をオフに設定する、
のいずれかでエラーリポートを完全に無効にすべきです。
もし後者を選択した場合、加えて <literal>error_log</literal> ini
ディレクティブを使用する、あるいは <literal>log_errors</literal>
をオンにしてログファイルのパスを定義すべきです。
<example>
<title>E_ALLで危険な変数を見つける</title>
<programlisting role="php">
<![CDATA[
<?php
if ($username) { // 使用前に初期化または確認されていない変数
$good_login = 1;
}
if ($good_login == 1) { // 上のテストが失敗した場合、使用前に初期化または確認されていない
readfile ("/highly/sensitive/data/index.html");
}
?>
]]>
</programlisting>
</example>
</para>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->