SQLインジェクションの裁判に参加してきた！その衝撃の内容とは

いろんなものが価値あるけど、それが法律の基準じゃないんだよ。法律に免除されてない限り、開示することがシステムの安全を脅かすって証明するのは公的機関の責任だよ。

やっぱりグレーゾーンが広いね。TFAが言う通り、「脅かす」と「脅かす可能性」の違いがあっても、「脅かす」の定義には「危険」が含まれているから、ほとんど関係ないんじゃないかな。

『脅かす』の違いが分析に関係ないってことだよ。何かが人を攻撃するのを助けるわけじゃなくて、そのシステムから得られる価値の一つなら、イリノイ州の法律下では脅かさないんだ。脅かす証明の基準も関係ないよ、そもそも脅かしの主張がないから。

もしも攻撃がシステムを脅かすものじゃないなら、それはイリノイ州の法律では脅かさないっていうのは分かる。でも、スキーマは攻撃者が攻撃を進めるために手に入れるものだから、システムを攻撃する手段になるんだよね。これが攻撃者にとっての価値の全てだよ。

君の主張がわからないよ。SQLIがあればスキーマを取得できるのに、スキーマが事前に公開されても何が問題なの？大切なのはSQLIがあるかどうかじゃないの？

これまだ有効だけど、UIがワイルドカードをサニタイズしたり、データベースがそれを禁止するか、インジェストするまでの時間がないほどのデータが出てしまうと失敗するかもね。

サニタイズはほとんど失敗するから、これって武器競争になるよね。

間違えなければ、そうだね。100％のセキュリティはないけど、正直もう2025年だから、SQLインジェクションを防ぐ方法はもう知ってるでしょ。ここに書いたよ：
https://valentin.willscher.de/posts/sql-api/

そうだけど、想定されるケースは完璧にサニタイズしてるサイトでもまだSQLインジェクションがあるってこと？そんなのありえるの？

でも、ここで想定されているケースは、完璧にサニタイズしたサイトがSQLインジェクションを許すってことだよね？ありえないと思うんだ。アスタリスクが含まれるものは拒否するだけで良いんだし。完璧にする必要はなくて、せめてハードルを設ければいいんだよ。試行回数を現実的に制限するだけで十分だし。

そこにパーサーが示されてないから、変な入力の場合がどうなるかは不明だよね。誰かにペネトレーションテストを受けたことある？

まあ、既存のパーサーを選ぶのが普通だと思うよ。特に自分で書く必要はない。大体の言語にはテスト済みのパーサーがあるからね。私の場合、変な入力は拒否されて、ライブラリから”parser error”を受け取って、それを”query not supported”エラーにラップして400を返す感じ。>ペネトレーションテストを受けたことは？実際に受けたよ。ペンテスターたちはその手法に驚いたけど、問題は見つからなかった。

興味本位なんだけど、”CANVASデータベースの全テーブルから1行のデータを要求する”みたいなことはできるの？

これは人の問題に対する技術的解決策だと思う。市がこの情報を出したくないなら、技術的な解決策は無理だよね。そして、これがすでにイリノイ州最高裁判所に持ち込まれて負けた以上、結局は法の更新が唯一の解決策だよ。

これは技術的解決策だとはいえ、裁判所が直接スキーマを尋ねられるかどうかを解釈していたんだよね。だから、”スキーマを尋ねることはできないけど、サンプル行を尋ねるのはOK”という選択肢はなかったと思う。

短い答えは”はい”、これができる。メールでのリクエストでも、”blah@gov.comの最も最近のメールをください”っていう形でのリクエストが見かけたことがある。で、最終的にはテーブル名を使ってリクエストのバッチを送る計画だった。文法的には、”SELECT * FROM {table_name_from_schema_request} LIMIT 1”みたいな感じで、テーブルごとにFOIAリクエストを出すつもりだった。

CANVASの管理者は何を隠しているんだろう？

何とも言えないけど、私がこの訴訟を起こした背景には、シカゴが裏でチケットを処理している業者リストを持っているという情報がある。私がその情報を要求した時には、都市はそんなリストはないと言ったけど、信じている。だから、スキーマ情報があれば本当に彼らが嘘をついているかどうかを確かめられると思った。

真剣に聞くんだけど、もし彼らが嘘をついていると疑っているなら、どうしてFOIAリクエストに対して完全なスキーマを出すことを信じるの？おそらく、重要なカラムを省くんじゃない？

うーん、街がスキーマを公開すべきだとは思うけど、記事の主張には同意できないな。スキーマを知っても攻撃者には役立たないっていうのは間違いなんじゃないかな。攻撃の受け手が特定のテーブルからデータを引き出せるかどうかは、スキーマを知ってるかどうかに依存するんだよね。特に、攻撃者がクエリの失敗とか成功の結果だけを知る場合、スキーマを知ってた方が試行錯誤がしやすくなるんだよ。
攻撃は常に行われているし、失敗したクエリを記録していれば、攻撃を見つけやすくなる可能性もあるし、スキーマを知っているとその弱点を利用しやすくなると思うよ。

スキーマを知っていると攻撃者にとって有利になることはたくさんあるよ。サービスの名前や市役所にいる公務員の名前、駐車券の法的な説明を知っていることも同様だ。もし訴えられてハッキングを試みるなら、その訴訟の詳細を知るのが役立つのは明らかじゃん。だから、「有益な情報は全部隠すべき」っていうのは違うと思う。

私は攻撃者じゃなくて、ただのソフトウェア開発者だけど、SQLインジェクションがあったらスキーマに関係なくなると思うよ。確かにスキーマを知っていると、完全なインジェクションがなくてもデータを引き出すのに役立つ場面もあったから、スキーマは攻撃者にとって多少有利になるって意見には同意する。

そのスキーマを裁判で認めるのは、何かしらの過失を認めることになるんじゃない？スキーマが漏れることがアプリに影響を及ぼす可能性があるなら、ちょっとまずいよね。

防御についての議論は簡単だよね。SQLインジェクションの穴が無いことを証明するのが難しいから不安だ。

スキーマがSQLインジェクションの穴を明らかにするとは思えないけど、他の脆弱性を見つける手助けにはなるかもしれないな。例えば、主キーの選択ミスやNULLの扱いなんかがそうかも。
えーっと、NULLを使い過ぎるか、逆に文字列の’NULL’を使ったりするってこと？

スキーマがSQLインジェクションの穴を明らかにすることは無いよ。ただ、過失の主張が『スキーマはSQLインジェクション穴がない限り無価値』っていうのが前提なのかなと思っただけだ。でも確かに、スキーマを秘密にしておく理由は他にも色々あるよね。

スキーマはアプリ開発者の考えを知る手掛かりになるから、それを利用して攻撃者はミスが潜んでる部分にたどり着くかもしれないな。

それは確かにそうだね。

これが市政府の話だから、訴訟の相手方はそのコードを書いたわけじゃないし、全てを確認する暇もない。彼らが知ってるのは、書いたのは猿みたいな奴らだったってことだけだ。それで、コードの中にSQLインジェクションがあるんじゃないかってある程度の根拠を持ってる可能性はあるんだろうね。

YouTubeのメール漏洩の脆弱性はスキーマを読むことから始まったって話を思い出すなあ。

＞$10,000 feels extraordinarily high for a server-side web bugという意見にはちょっと疑問。バグの販売を前提にしてるみたいだけど、YouTubeのユーザーのメールアドレスをスキャンして危険人物に売る方法もあると思う。どれだけのメールが漏洩するかはGoogleしか分からないよね。

＞I wouldn’t call json a schema。あれはJSON形式でシリアライズされたprotobufだよ。protobuf定義がスキーマじゃないなら何なのかが分からない。

うん、訂正ありがとう。

SQLインジェクションを示す失敗したデータベースクエリをログするようにしてるなら、スキーマによってその信号が減ることはないと思うけど。たとえシンタックスエラーが出ても、それは追跡する価値があると思うよ。

スキーマの知識が攻撃者にアドバンテージを与えるのは理解できるよ。カラム名を知ってれば、正しいクエリを作りやすくなるし、失敗したクエリが記録されない可能性もある。

カラム名の知識がどう役立つのかが分からない。SQLインジェクションの脆弱性を見つけるには、実際のクエリを確認しないと意味がない。

カラム名の知識が脆弱性の有無を示すわけじゃなくて、脆弱性があった場合に何ができるかを示すんだよ。例えば、口座残高を1百万にしたいならカラム名が必要だよね。

SQLインジェクションならスキーマ全体が分かるし、カラム名を事前に知ることの意味があまり分からない。今は非SQLインジェクションの脆弱性について考えてるんだ。

SQLインジェクションはデータベースへのSSHトンネルじゃないから、もし注入した行がセレクトでなくてバックエンドが取得しなければ、カラム名を知っても役に立たない。

待って、これはブラインドSQLiとして知られているけど、実際にはそこまで盲目的じゃないよ。タイミングを使って情報を一ビットずつ取得できるから、遅いけどDBエラーを引き起こさずにできるんだ。

人間ってほんとに面白いこと考えるよね。

そうだね、これはクールなトリックだし、分かりづらいよね。SQLインジェクションでスキーマが取れるって言ったのは、セキュリティコースでの古い記憶を思い出してのことかも。

これ、テーブル名を列挙することで実現できるのを見たことある。

それは一般的な方法だね。ただエラーが通知される可能性もあるし、当然名前が簡単に推測できるわけじゃないから。

ああ、確かに。記録を見られない可能性もあるよね。

＞コラム名の知識はSQLインジェクションの脆弱性を見分けるのをどう助けるのか？
それはないよ。脆弱性を見つけたら、すぐに有効なクエリを作って、テーブル名やカラムを適当に推測する必要がなくなるから、‘DBクエリ失敗’のアラートを出さずに済むんだ。
編集：ここが私が見逃していた部分なんだ。＞脆弱なクエリを一回でブラインド攻撃するには、SQL文自体を見る必要があるって、本当にそうなのか？やったことないから信じるしかないけど、壊れたシステムでは’bobby tables’や1=1 –‘で発見できるかなと思ったけど。

テーブルやカラム名に触れずに有効なクエリも作れるよ。

そうだね、それを使って脆弱性を見つけるんだ。ただ脆弱性を見つけても、全ての駐車違反を支払い済みに更新する時、スキーマがないと難しくてたくさん失敗するSQLになるよ。スキーマがあれば一発でできるかもしれない。

だから、普通のペンテストの過程では、SQLインジェクションの脆弱性を使ってスキーマ情報を回収することにするんだ。

情報の回復を許さないSQLiの脆弱性ってあるのか？スキーマ回復は常にできるものなのか？GPは、返ってくるシグナルの種類によって難しいこともあると言ってるけど。

自分の体験では、SQLを使ったサイトを何百も調査したけど、スキーマの有無がSQLインジェクションを行う能力に影響したことはない。専門家として、あり得ないシナリオを考えるのは仕事じゃないし、裁判所もその証言を重視しているから、そこは置いておくよ。

“Blind” SQLiはあるけど、実際の例では完全にブラインドじゃなかった。タイミングで一度に一ビットの情報を取れたから、メールアドレスを見つけ出すことができた。タイミングで情報を得られないケースは想像しにくい。

ちょっと無知かもしれないけど、アプリのアカウントがinformation_schemaにアクセスできない場合、どうやってやるのよ？

あまり一般的な設定じゃないと思うけど、自分の無知をさらけ出してるかも。ORMの人気を考えると、スキーマが多くの場合にアプリにロードされるから。

アプリがスキーマを集めようとしたらすぐにロックアウトする賢い設計かもしれない。スキーマを前もって知ってれば、マルウェアの目的を達成するために一発でのインジェクションがしやすくなる。

＞”あなたがスキーマに出来ることはそのフィードのシグナルを減らさない“
例えば、SQLの文法エラーがあれば、どこかにバグがあるページがあるってことだから、追跡する価値はあるよね。このことから、Apacheのエラーログを確認してバグを見つけて直すこともできた。

＞”アプリからのSyntaxエラーはどこかにバグがあることを示す“
これは政府のシステムで、最低入札の請負業者が作ったアプリだと思う。ほとんどの人は、展開されたアプリからの失敗したクエリの量に驚くはず。

調査する価値があるかは微妙だけど、特定の監視システムがあるか探るよりもFOIAをする方がいいと思う。スキーマは攻撃にとってはあまり関係ないし、それを公開するのも問題ない。

＞”クエリが失敗した“または”クエリが成功した、データをどうぞ“
Blind SQLインジェクションはエラーを表示しないタイプだけど、成功や失敗を示す微妙なシグナルはある。ある例では、成功したインジェクションは正常なレスポンスのバイト数が一つ多いことがあった。これを使ってスキーマもデータベース全体も引き出せた。

Kurtはこれで俺をからかおうとしてる。ここでの観客は主に非技術系の地元シカゴランドの政治に関わる人たちだってことを知っておいてくれ。地元政治について少し伝えさせてくれ：全国政治に関わるのは厳しくて気が滅入るけど、地元政治は超反応的だ。俺は実際に法を通すこともできたし、ほとんど費用をかけずに暇な時間に実現できたんだ（全国政治とは大違いだよ）。地元政治のすごいところは、フォーラムが中心になってるところだ。場所はあまり行きたくないところ（特にFacebookグループとか）だけど、参加することを楽しむなら、政治にも参加できるし、フォーラムを活用して実際に物事を成し遂げることができるんだ。