shikata ga nai

Private? There is no such things.

Bad StoreでFile Upload

Hey guys!

Bad Storeを利用する人物は、

 ・ユーザ

 ・管理者

 ・サプライヤ

がいるように思えます。

脆弱性診断をする際には、各々の権限で異なる画面や機能を把握し、各々の権限で診断をする必要があるかと。

 

下記のようにサプライヤには、価格表をアップロードする画面がありました。

ちなみにシェルスクリプトをアップロードすると難なく成功。

何でもありのように思えます。

 

f:id:ThisIsOne:20191113155829p:plain

 

今回、サプライヤへのログインは、SQLインジェクションを使ってログインしました。

なので、サプライヤ以外の人間が悪意のあるシェルスクリプトをアップロードしてWEBアプリケーションやサーバ全体を侵害する可能性もあるかと。

 

対応策としては、アップロードされたファイルのMINIタイプの検証を実行して。

対象外となる拡張子をもつファイルは、アップロードさせず。

実行可能なファイルのアップロードを許可する必要がある場合は、アクセス権限を読み取りのみに設定する必要がよろしいかと。

 

f:id:ThisIsOne:20191113155927p:plain

 

このファイルアップロードについての診断項目は、IPAのウェブ健康診断やWEB診断ガイドラインにも書かれていないような。

 

Best regards,

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain