ホーム » Movable Type » A-Form » A-Form ドキュメント » A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策

A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策

←A-Form ドキュメントTOPに戻る 

弊社のMovable Type用プラグインA-Form, A-Member, A-Reserveにおけるセキュリティ脆弱性対策について説明いたします。

A-Form, A-Member, A-Reserveは最新版をご利用ください。

最新のテスト状況

MovableTypeアップデートに伴い、セキュリティ脆弱性対策として以下のテストを行いました。

• Aシリーズ対象バージョン
4.1.5、5.0.1
• 使用ツール
OWASP ZAP
• 実施日
2024/9/12
• 結果
A-Form、A-Member、A-Reserveに関するhighアラートは検知されませんでした。

A-Form・A-Member・A-Reserveのセキュリティ脆弱性対策について

SQLインジェクション

Webアプリケーションの脆弱性チェックツール「OWASP ZAP」でチェックを実施。A-FormはMovable TypeのORマッパを使用しているので、SQLインジェクション対策はMT本体の対応状況と一致しています。

クロスサイトスクリプティング（XSS）

OWASP ZAPでチェックを実施。
「ファイルアップロード」パーツというフォームパーツでは利用者が画像ファイルをアップロードできますが、その画像ファイルにXSSが仕込まれているケースがあり得ます。これに対して、以下のような防御策を取っています。

• jpg, gif, pngでは、マジックバイトとContent-Typeが同一でなければエラーとする
• BMPファイルはアップロードできないようにする

URLパラメータ改ざん

「外部パラメータ」パーツ というフォームパーツがあり、フォームに対してGETクエリを渡し、それをフォームからの送信情報に加えることができます。このパラメータ改ざんに対するテストを実施しております。

クロスサイトリクエストフォージェリ（CSRF）

確認画面でワンタイムトークンをhiddenとcookieに対して発行し、受付処理時にその整合性をチェックする方式をとっています。

パス名パラメータの未チェック/ディレクトリ・トラバーサル

OWASP ZAPでチェックを実施。

OSコマンド・インジェクション

OWASP ZAPでチェックを実施。

HTTPヘッダ・インジェクション

OWASP ZAPでチェックを実施。

セッション管理の不備

A-Memberのセッション管理では、Movable Type本体のセッション情報を利用しているため、MT本体の対応状況と一致しています。

メールヘッダーインジェクション

メールアドレス欄にメールアドレス以外を入力しても内部のチェックで弾くため、改行を利用したメールヘッダーインジェクションはエラーになります。

参考：パラメータ改竄の警告について

Aシリーズ3.8.3のリリースに伴い、セキュリティ脆弱性対策として以下のテストを行いました。

• 使用ツール
OWASP ZAP
• 実施日
2015/6/22
• 結果
MT6.1環境にて以下の警告がでました。
• リスク
high
• 信頼性
medium
• パラメーター
prm（パラメーターパーツで指定したパラメータ値）
• 攻撃
test-s AND 1=1--
• 証拠
CWE Id：89
WASC Id：19
• 説明
SQL injection may be possible.
• 検証

A-Formの[外部パラメータ]パーツはprmを受け取る仕様であり、フォーム上でも表示されているため検知されたと思われる。 このパーツは、フォーム管理者が自由にパラメータを指定できるので「どんな値でも許容する」という仕様になっている。

SQL injection という判定だが、Movable TypeでのDBアクセスはすべてMT::Objectというものを通して行われる。A-Formではこれにload()やsave()といったメソッドでアクセスしており、直接SQL文を作って実行はしていない。よって、万一問題が起こるとすれば、対処すべきはMovable Type本体ということになる。

このアラート自体も「SQL injection may be possible.」であり、対応の重要度は低いと判断する。