代表的なセキュリティ攻撃とRailsでの対策を復習

CRSF(クロスサイトリクエストフォージェリ)

ログインした状態(セッションIDを維持した状態)を悪用してリクエストすること
ログイン後の利用者のみが利用可能なサービスを悪用したり(不正送金や商品購入、退会)、編集可能な情報を改竄できてしまう。
ログインした状態で不正なリンクをクリック。Webサイトを移り(クロス)、ユーザーの要求を偽って(フォージェリ)、悪意のあるリクエストが送信される

対策

• GET/POSTを正しく使うこと
  GETは情報読み出し、POSTは状態変化や何らかの作用を伴う操作

• GET以外のリクエストにはセキュリティトークンを使う
  リクエストがユーザーの意図にあるものかを確認するために、同じWebアプリから生じたリクエストであることを証明するためのセキュリティトークンを発行、照合する
  config.action_controller.default_protect_from_forgeryをtrueに設定すると自動的に実行(Rails5.2からデフォルトの設定)
  form_withなどを使ったリクエストは自動でセキュリティトークン(authenticity_token)が埋め込まれる

Ajaxリクエストへのセキュリティトークンの埋め込み
Ajaxリクエストでセキュリティトークンを送るには、JavaScriptが動く画面内にあらかじめセキュリティトークンを出力しておき、そのトークンを使ってX-CSRF-TokenというHTTPヘッダーで送る必要がある
出力はアプリのviewにある<%= csrf_meta_tags %>
fetch APIでAjaxリクエストを送信する場合は自分でトークンを埋め込む必要がある

fetch('/posts', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json; charset=utf-8',
    'X-CSRF-Token': document.querySelector('meta[name="csrf-token"]').getAttribute('content')
  }
})

※XSS脆弱性があると、あらゆるCSRF保護が迂回されるので注意

XSS(クロスサイトスクリプティング)

テキストフォームなどの出力処理に問題がある場合に、スクリプトなどを埋め込まれてしまう
フィッシング詐欺(別サイトへ誘導)、セッションハイジャック(cookieを取得しなりすましができる)

対策

• RailsはXSS対策が標準で組み込まれていて、view処理を実行した際にHTMLタグに対してエスケープ処理が行われる。
  &,",<,>は、&,",<,&gtにそれぞれ置き換えられる
• HTMLのエスケープ回避したいときのメソッド(html_safe/raw(<%==))を使う場合は、脆弱性が発生することになるので注意。html_escapeを使ってエスケープ。
• ある程度タグをそのまま出したいが、危険なタグを出力したくない場合はSanitize Helperでホワイトリスト方式で制限。

SQLインジェクション

パラメーター操作でDBをさわれてしまう
RailではSQL文字をフィルタする仕組みがあり', ", NULL, 改行をエスケープされるので、滅多に起こらなくなった。 Model.find(id)やModel.find_by()といったクエリでは自動的にこの対策が適用されるが、
where("...")、connection.execute()、Model.find_by_sql()については手動でエスケープする必要あり

対策

• 文字列をサニタイズ(無害化)する安全な書き方を使う

# クエリメソッドに対してハッシュで条件を指定
users = User.where(name: params[:name])
# プレースホルダを利用
users = User.where('name = ?', params[:name])

LIKEは演算子は自動的にサニタイズされないので注意。sanitize_sql_likeを使う必要がある

参考

• Rails セキュリティガイド - Railsガイド
• 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構
• [ActiveRecord] SQLインジェクションを防ぐ｜Railsの練習帳

学んだことがあれば都度追加していく。

AWSについて学習中。Railsアプリをあげようと思ったらエラーが出てややハマったのと、同様のエラー記事がなかったので残しておく。

Apple M1
ruby 3.1.3
Rails 7.0.4.1

gemからmysql2をインストールしようとすると以下のようなエラーが出た。

$gem install mysql2
Building native extensions. This could take a while...
ERROR:  Error installing mysql2:
        ERROR: Failed to build gem native extension.

    current directory: /Users/username/.rbenv/versions/3.1.3/lib/ruby/gems/3.1.0/gems/mysql2-0.5.5/ext/mysql2
/Users/username/.rbenv/versions/3.1.3/bin/ruby -I /Users/username/.rbenv/versions/3.1.3/lib/ruby/3.1.0 extconf.rb
checking for rb_absint_size()... yes
checking for rb_absint_singlebit_p()... yes
checking for rb_gc_mark_movable()... yes
checking for rb_wait_for_single_fd()... yes
checking for rb_enc_interned_str() in ruby.h... yes
-----
Cannot find library dir(s) /usr/local/opt/openssl@1.1/lib
-----
*** extconf.rb failed ***
Could not create Makefile due to some reason, probably lack of necessary
libraries and/or headers.  Check the mkmf.log file for more details.  You may
need configuration options.

Provided configuration options:
        --with-opt-dir
        --without-opt-dir
        --with-opt-include
        --without-opt-include=${opt-dir}/include
        --with-opt-lib
        --without-opt-lib=${opt-dir}/lib
        --with-make-prog
        --without-make-prog
        --srcdir=.
        --curdir
        --ruby=/Users/username/.rbenv/versions/3.1.3/bin/$(RUBY_BASE_NAME)
        --with-openssl-dir
        --with-openssl-dir
        --with-openssl-include
        --without-openssl-include=${openssl-dir}/include
        --with-openssl-lib
        --without-openssl-lib=${openssl-dir}/lib

To see why this extension failed to compile, please check the mkmf.log which can be found here:

  /Users/username/.rbenv/versions/3.1.3/lib/ruby/gems/3.1.0/extensions/arm64-darwin-22/3.1.0/mysql2-0.5.5/mkmf.log

extconf failed, exit code 1

Gem files will remain installed in /Users/username/.rbenv/versions/3.1.3/lib/ruby/gems/3.1.0/gems/mysql2-0.5.5 for inspection.
Results logged to /Users/username/.rbenv/versions/3.1.3/lib/ruby/gems/3.1.0/extensions/arm64-darwin-22/3.1.0/mysql2-0.5.5/gem_make.out

openssl関連で、--with-ldflagsや--with-cppflagsオプションをつければインストールできるという記事が多いのでやってみるが同じエラーが続く。

エラー文読み直しにて、Cannot find library dir(s) /usr/local/opt/openssl@1.1/libが怪しい。

そもそも/usr/local/opt/openssl@1.1/libというディレクトリがなく、そりゃ見つからないと怒られてしまう。

なんでこんなことになっているのかと思ったら.zshrcに

export RUBY_CONFIGURE_OPTS="--with-openssl-dir=/usr/local/opt/openssl@1.1"

という環境変数が設定されていた。多分、学習初期に訳もわからず設定したものな気がする。

これを存在するパスに。Home · rbenv/ruby-build WikiをみるとRuby 3.1以降ではOpenSSL3が必要とのことで

export RUBY_CONFIGURE_OPTS="--with-openssl-dir=$(brew --prefix openssl@3)"

こうすることで無事にmysql2をインストールできた。

この記事はフィヨルドブートキャンプ Part 1 Advent Calendar 2022 - Adventarの13日目の記事です。
昨日はHikaruさんの「オブジェクト指向設計実践ガイド（POODR） 感想 & 第1章 まとめ - Light! More Light!」でした。

フィヨルドブートキャンプの今年のアドベントカレンダーはこちらです。

• フィヨルドブートキャンプ Part 1 Advent Calendar 2022 - Adventar
• フィヨルドブートキャンプ Part 2 Advent Calendar 2022 - Adventar

はじめに

こんにちは。フィヨルドブートキャンプ(以下、FBC)卒業生のガラムマサラです。
1日の学習初めの小手試しや、少しだけ時間があって何かコードを書きたいというときに、よくAtCoderの過去問を解いています。
これまでのAtCoderの取り組みや、B問題を解くためのTipsを本記事では紹介してみます。

AtCoderについて

AtCoderはプログラミングを使って問題を解くことを競技化したコンテストを開催するサイト・運営会社です。
AtCoder Beginner Contest、通称ABCは定期的に開催している初心者向けコンテストで、毎週A〜H問題が出題されています。
難易度としてA問題は「プログラミング言語の文法を確認する程度」、B問題は「FizzBuzzを応用する程度」とされています。
過去問が掲載されているので、コンテスト期間とは関係なく問題を解くことができ、各問題に解説があったり、他人の解答を見ることができるので、大変勉強になります。
AtCoderを使った勉強法に関しては、同じAtCoder学習仲間であるsugieさんが一昨日書かれた記事が参考になります。

sugie.co

わたしとAtCoder

FBCでRubyのプラクティスが終わった頃、同期のあんすとさんの紹介でAtCoderの過去問を解き始めました。
最初は標準入力ってどうやって受け取るの？という状態でしたが、それに慣れると少しずつA問題が解くことができました。
B問題となるとループを含んだ実装になるので、eachを使うのでやっとだった自分はほとんど手がつけられない状況でした。

FBCで学び、チーム開発や自作サービスでRubyのコードを書いていった中、久々にB問題に取り組んでみると、「あれ、なんだか解けるぞ！」とブレイクスルーを感じられて嬉しかったです。
多くのRubyistが言う「Rubyで書くが楽しい」ということも、なんとなく感じ取れている気がします。
本日までにB問題は81問解いていました。新しめの問題の方が難しいので、できるだけそちらを解くようにしています。

以降はそのB問題攻略の解き方のコツや便利なRubyメソッドを紹介、一緒に実際の問題も載せておきます。
AtCoder初心者の方の参考になるかもしれません(今回は解くことが目的で、計算量については考えられていないのであしからず…)

標準入力から受け取る

整数nを1つ受け取とった後、n行のスペース区切りの整数を二次元配列で受け取る方法です。

2
1 3 5
2 4 6

n = gets.to_i #=> 2
array = n.times.map { gets.split.map(&:to_i) }
#=> [[1, 3, 5], [2, 4, 6]]

array = n.times.map do
  gets.split(' ').map do |line|
    line.to_i
  end
end
#=> [[1, 3, 5], [2, 4, 6]]

頻繁に出題される形です。
Array.newやreadlinesを使うなど様々な方法がありますが、1つ得意な形を持っておくと応用も効きやすいので良いかなと思います。

全探索

考えられる全ての場合を調べることです。
表や二次元盤面を要する問題など、よくこの方法を使います。
主に二重、場合によって三重でeachやtimesを使って繰り返すことで全探索できることが多いです。

array = [1, 2, 3, 4, 5, 6, 7, 8, 9]
count = 0
array.each do |i|
  array.each do |j|
    count += 1 if (i * j).even?
  end
end
puts count
#=> 56

九九の表を1つ1つ評価しているイメージです。

全探索で解いた問題

• B - How many?
• B - Tournament Result
• B - Job Assignment

全探索をするよりArrayやEnumerableモジュールのメソッドで簡単に解決できるものもあります。

Enumerable#each_with_index

要素の添え字付きの繰り返し処理です。

array = ['a', 'b', 'c']
array.each_with_index do |a, i|
  p "#{i}: #{a}"
end
#=> "0: a"
#   "1: b"
#   "2: c"

添え字を0以外からにしたいときにはEnumerator#with_indexを使います。

array.each.with_index(1) do |a, i|
  p "#{i}: #{a}"
end
#=> "1: a"
#   "2: b"
#   "3: c"

each_with_indexで解いた問題

• B - Explore
• B - Takahashi's Failure

Array#combinationとArray#permutation

combinationは並び順を考慮しない組み合わせを、permutationは並び順を考慮する順列を生成するメソッド。
引数で選び出す要素の個数を指定できます。

array = [1, 2, 3, 4]
array.combination(2).to_a
#=> [[1,2],[1,3],[1,4],[2,3],[2,4],[3,4]]
array.permutation(2).to_a
#=> [[1,2],[1,3],[1,4],[2,1],[2,3],[2,4],[3,1],[3,2],[3,4],[4,1],[4,2],[4,3]]

重複を許可するArray#repeated_combinationとArray#repeated_permutationもあるので、このあたりは公式リファレンスを確認します(まだ使ったことがない気がする)

combinationで解いた問題

• B - Everyone is Friends
• B - Triangle (Easier)

Enumerable#each_cons

要素を重複ありで引数nずつに区切り、ブロックに渡して繰り返すメソッド。
1回のループで要素を1つずつしか取得できないeachに比べ、こちらは複数個の要素を扱えるので便利です。

array = [1, 2, 3, 4]
array.each_cons(2){ |v| p v }
#=> [1, 2]
#   [2, 3]
#   [3, 4]

each_consで解いた問題

• B - Inverse Prefix Sum
• B - Practical Computing

Array#transpose

行と列の入れ換えをするメソッド。
個人的にFBCのプラクティス「ls コマンドを作る」で使ったメソッドなので思い出に残っています。

[[1, 2],[3, 4],[5, 6]].transpose
#=> [[1, 3, 5], [2, 4, 6]]

transposeで解いた問題

• B - Line Sensor
• B - Matrix Transposition

Array#find_index

indexとしても同様です。配列内の指定した要素の最初の位置を取得するメソッド。
配列内に重複している要素があり、その一つだけを取り出したい場合に、「最初の」インデックス値を取得し操作できるので便利です。
Array#rindexは最後から順に探してくれます。

# 2をひとつだけ削除したい
array = [1, 2, 2, 3, 3, 3]
# これでは2を全て削除してしまう
array.delete(2)
array #=> [1, 3, 3, 3]

# インデックス値を取得できるｓと1つだけ削除可
array.delete_at(array.index(2))
array #=> [1, 2, 3, 3, 3]

indexで解いた問題

• B - Rectangle Detection
• B - Bouzu Mekuri

Enumerable#tally

要素を数え上げ、Hashで返すメソッド。
このメソッドは、僕のAtCoderの先生でもあるharuguchiさんから教えてもらいました。
tallyを使って簡潔に解ける問題も多く、個人的に一番好きなメソッドになりました。

['a', 'b', 'b', 'c', 'c', 'c'].tally
#=> {"a"=>1, "b"=>2, "c"=>3}

tallyで解いた問題

• B - Who is missing?
• B - Pasta
• B - Star or Not

配列の合計

配列の和はArray#sum、要素を全て掛けるにはEnumerable#injectを使っています

array = [1, 2, 3, 4]
array.sum #=> 10
array.inject(:*) #=> 24

配列同士の積を求める問題

• B - Orthogonality

四捨五入・切り上げ・切り捨て

A問題から数字の四捨五入や切り上げ・切り捨てが出てくる頻度は高いです。
切り上げ切り捨てがどっちかよく混乱していたんですが、これもharuguchiさんから教えてもらったシーリングライト(天井)とフロア(床)のイメージで定着しました。

• 四捨五入：Numeric#round
• 切り上げ：Float#ceil
• 切り捨て：Float#floor

1.4.round #=> 1
1.5.round #=> 2
1.1.ceil #=> 2
1.9.floor #=> 1

四捨五入・切り上げ・切り捨てに関する問題

• B - Broken Rounding
• B - Round Down

参考文献

プロを目指す人のためのRuby入門［改訂2版

プロを目指す人のためのRuby入門 言語仕様からテスト駆動開発・デバッグ技法まで Software Design plus

• 作者:伊藤 淳一
• 技術評論社

Amazon

FBCメンターの@jnchitoさんが執筆された、言わずと知れたチェリー本です。
配列、Range、Hash、繰り返し処理で迷ったときは必ずチェリー本に戻りました。答えはここに全部詰まっています！

プログラミングコンテストAtCoder入門

アルゴリズム的思考力が身につく！ プログラミングコンテストAtCoder入門

• 作者:大槻 兼資
• KADOKAWA

Amazon

こちらは本記事を書くにあたって読んでみました。 Rubyではなく、C++とPython3のコードを用いて解説されているので、ソースコードに沿っての学習はできませんが、アルゴリズムを知る上で多くの知見が得られます。
この本によると自分は初級編をクリアしたところでした。中級編に進んでいきます！

さいごに

AtCoder運営の方々、いつも楽しませていただいています。ありがとうございます。 今後は実際に時間を調整してコンテストに参加してみたり、アルゴリズムの知識や計算量の意識が必要になってくるC問題以降に手をつけていきたいと考えています。

FBCでは、だいたい木曜日の昼頃にharuguchiさん主催でAtCoderを解く「勝手にモブプロ会」が行われています。
いつも楽しく学びのある会です。haruguchiさん、ありがとうございます！
FBCでAtCoderが気になっている方がいましたら、一緒にモブプロできると嬉しいです。

明日のFBCアドベントカレンダーは、Part1をkazumiさん、Part2をumizaruさんが記事を書いてくださいます。楽しみです！

現在、フィヨルドブートキャンブ内にて、＠Sakiさん主催の「パーフェクト Ruby on Rails輪読会」が行われています。 こちらの本、大変参考になりますが、なんだか難しいし、もう少し深掘りがしたい！と思いまして、このブログに予習・復習した内容を簡単に載せていきたいなと考えています。

9-3-2

Brakemanはアプリの脆弱性を静的解析してくれる便利なgem

RailsConfでの発表の動画を見る限り、読み方は「ブレーキマン」ではなく「ブレークマン」っぽい。
使い所はCIで定期実行して、脆弱性につながる疑いのコードを事前に検知するとよいとのこと。
XSSやSQLインジェクションなどの脆弱性を確認してくれ、その確認項目は30項目くらいありそう。

パRailsで作ったアプリでは警告等が出なかったので、せっかくなので自作アプリのNursePicksに導入してみる。

group :development do
  gem 'brakeman'
end

bundle exec brakemanで実行してみると、レポートが作成された。

== Brakeman Report ==

Application Path: work/nursepicks
Rails Version: 6.1.6
Brakeman Version: 5.3.1
Scan Date: 2022-11-16 17:06:57 +0900
Duration: 1.213567 seconds
Checks Run: BasicAuth, BasicAuthTimingAttack, CSRFTokenForgeryCVE, ContentTag, CookieSerialization, CreateWith, CrossSiteScripting, DefaultRoutes, Deserialize, DetailedExceptions, DigestDoS, DynamicFinders, EOLRails, EOLRuby, EscapeFunction, Evaluation, Execute, FileAccess, FileDisclosure, FilterSkipping, ForgerySetting, HeaderDoS, I18nXSS, JRubyXML, JSONEncoding, JSONEntityEscape, JSONParsing, LinkTo, LinkToHref, MailTo, MassAssignment, MimeTypeDoS, ModelAttrAccessible, ModelAttributes, ModelSerialize, NestedAttributes, NestedAttributesBypass, NumberToCurrency, PageCachingCVE, PermitAttributes, QuoteTableName, Redirect, RegexDoS, Render, RenderDoS, RenderInline, ResponseSplitting, RouteDoS, SQL, SQLCVEs, SSLVerify, SafeBufferManipulation, SanitizeConfigCve, SanitizeMethods, SelectTag, SelectVulnerability, Send, SendFile, SessionManipulation, SessionSettings, SimpleFormat, SingleQuotes, SkipBeforeFilter, SprocketsPathTraversal, StripTags, SymbolDoSCVE, TemplateInjection, TranslateBug, UnsafeReflection, UnsafeReflectionMethods, ValidationRegex, VerbConfusion, WithoutProtection, XMLDoS, YAMLParsing

== Overview ==

Controllers: 11
Models: 6
Templates: 17
Errors: 0
Security Warnings: 4

== Warning Types ==

Cross-Site Scripting: 4
Cross-Site Scripting: 4

== Warnings ==

Confidence: Weak
Category: Cross-Site Scripting
Check: SanitizeConfigCve
Message: rails-html-sanitizer 1.4.2 is vulnerable to cross-site scripting when `select` and `style` tags are allowed (CVE-
2022-32209). Upgrade to 1.4.3 or newer
File: Gemfile.lock
Line: 273

Confidence: Weak
Category: Cross-Site Scripting
Check: LinkToHref
Message: Potentially unsafe model attribute in `link_to` href
Code: link_to(Post.find(params[:post_id]).url, :target => :_blank, :rel => "noopener", :class => "post-image")
File: app/views/posts/show.html.slim
Line: 5

Confidence: Weak
Category: Cross-Site Scripting
Check: LinkToHref
Message: Potentially unsafe model attribute in `link_to` href
Code: link_to(Post.find(params[:post_id]).title, Post.find(params[:post_id]).url, :target => :_blank, :rel => "noopener")
File: app/views/posts/show.html.slim
Line: 9

Confidence: Weak
Category: Cross-Site Scripting
Check: LinkToHref
Message: Potentially unsafe model attribute in `link_to` href
Code: link_to(User.find(params[:id]).url, User.find(params[:id]).url)
File: app/views/users/show.html.slim
Line: 11

何やらCross-Site Scriptingで4件の警告あり。
内訳としては3件がLinkToHref、1件がSanitizeConfigCve
1つ1つの警告の詳細についてはbrakeman/docs/warning_types/

link_toメソッドの指摘に関しては

Brakemanはlink_toメソッドを使って作成されたURLにユーザー入力が含まれていると警告を発します。Railsにはこの方法で作成されたURLを安全にする方法がないため（例：プロトコルをHTTP(S)に限定する、など）、安全なメソッドを無視したい場合は次のオプションを使ってください。 Brakeman: Options

伊藤さんが翻訳してくれている。
ということで今回はurlメソッドで怒られてるので、--url-safe-methods urlとオプションをつけておく。

あとはrails-html-sanitizerをアップグレード。
対象コードを修正すると、

== Overview ==

Controllers: 11
Models: 6
Templates: 17
Errors: 0
Security Warnings: 0

== Warning Types ==


No warnings found

ということで修正完了。

GithubActionsにも設定、CIでも実行できるようにした。

- name: Breakeman
  run: bundle exec brakeman --url-safe-methods url

ちなみにbrakeman -Iコマンドで無視する警告を設定できるとのこと
参考記事：Brakemanで無視する警告の設定の仕方 - Qiita
breakman -Aでデフォルトでは検証しない、すべてのチェックも実行してみたが、Unscoped Findなど偽陽性のものも多いので、この設定をしておけばよさそう。

その他参考記事

• gem BrakemanでRails製アプリケーションの脆弱性を検知する | GMOアドパートナーズ TECH BLOG byGMO
• Rails環境でセキュリティ向上のため、Brakeman gemを導入＆脆弱性対策を実施しました - Zeals TECH BLOG

セキュリティ対策ができるし、特に自作アプリでは変更のたびに誰かにレビューしてもらうことはないので、こういった静的解析ツールは便利！