Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ

[teppeis]

クエリのプレイスホルダにオブジェクト型が渡ると特殊な解釈をする仕様を突いたSQLi脆弱性。こういう変に便利機能あると危険なやつ、log4jで見た

[ockeghem]

一般的なプレースホルダ実装とは挙動が異なるので、「プレースホルダなら安全」とは言えない件。「JSON SQLインジェクション」と呼ばれた挙動に近い。

[rryu]

配列はIN句の時に使うから分かるが、オブジェクトは一体どう使う想定なのだろうか。無駄に頑張ってしまった感が強いが…

[daira4000]

ライブラリ見にいったらprepared statements未実装だった。そんなライブラリを使わないのが安全。

[tyage]

最初にCTFで出題されたの、2020年のGoogle CTFかな？　https://github.com/csivitu/CTF-Write-ups/tree/master/Google%20CTF/Web/Log-Me-In

[causeless]

"@wtnbgo これはそもそも prepared statement 機構以外は絶対使うなと教えるべきなのでは。なんちゃってプレースメントホルダなライブラリは存在自体が悪だし廃止すべき。" from https://twitter.com/i/web/status/1493817092231286784

[n314]

プリペアドステートメントじゃなくて言葉通りエスケープなのね。PHPerなので15年ぐらい前に（有名ライブラリを使ったとしても）自前でエスケープするなって散々言われてた気がするが。

[internetkun]

誤解ないよう補足するけど2年近く更新が途絶えている https://npm.im/mysql でなくて https://npm.im/mysql2 の方が昨今は使われるようになっていて後者はこの記事で書かれているような現象は起きないはず

[xlc]

プレースホルダの実装がエスケープとはたまげる。

[send]

まあ prepared statements 以外はそもそも使わんようにする方がいいよな

[takc923]

API的にprepared statementを内部で使ってるんだろうな、って思っちゃうけど違うのか... githubのレポジトリ見にいったら10年前に作られたprepared statementのfeature requestのissueがまだオープンなままだった

[deep_one]

基本として「エスケープ処理はするな、プリペア使え」だと聞いている。／コメントを見て。プレースホルダ使うけどプリペアではない謎実装？その構文だとプリペアなんだと思いそうだな。

[ducktoon]

“バッククォートで囲まれた識別子 password はカラムとみなされるので、最終的には password = password となり”

[akulog]

Oh...

[kibitaki]

Object型突っ込むとかはしないし、ストアドの中で型決めて受けてればセーフ、ってことでいいのかな？

[mattn]

こわっ

[utsuidai]

これは…

[Keisuke69]

プレースホルダ使えば安全ってわけじゃないパターンらしい。オブジェクト渡したらダメらしいがオブジェクト渡す時ってどんな時かな

[flont]

なぜprepared statementではなくオレオレエスケープをライブラリが実装してしまうのか / 取りうる回避策はこのライブラリの使用をやめることしかない

[rgfx]

そんなまた昔のPHP界隈みたいなことがマジであんのかjsって

[kazokmr]

nodeそれほど詳しくはないんだけど、prisma使ってる場合はどうなんだろ？

[yhoriz]

やはりなるべく型による表明を使いたいと思わされる

[tettekete37564]

最低限のバリデーションすら無しで&&判定するって普通に手抜きコードじゃ無いの？しかもユーザ名+パスワードが対象でそのif文じゃ嫌な予感しかしない

[ghostbass]

普通は「プレースホルダ使え」でなく「パラメータクエリー(prepared statement)使え」なのでちょとイケてない感ある

[wkwkhautbois]

クライアント側でのエスケープは危険、DB側でのバインド機構(PreparedStatement)を使え が基本だと思ってるけど、MySQLは歴史的な何かがあるんだろうか。

[hurafula]

三、四年くらい前から変わってないサービスとかめっちゃ使ってそうだな にしてもプリペアドステートメント使ってないのか

[prograti]

ライブラリの内部ではMySQL Connector/Node.jsを使用しているのかと思ったらデータベースドライバみたいなのを自作してるんですね。

[razokulover]

ヒェ...

[lizy]

プレースホルダをライブラリ側で展開している？

[remonoil]

mysql2を使おう。ほぼ互換だけどPrepared statementsサポートしてて、自動でPrepared statementsになる

[natu3kan]

その道の業界人には知られてて、脆弱性のテストに普通に組み込んでたけど、広く知られるようになったのは近年みたいなのって、まだまだあるんだろうなあ。対策しないと融通を利かせちゃう機能のを逆手に取る訳か。

[satomi_hanten]

(ちゃんと読んでない)一時期流行ったクエリ/データ内のXML記述も怪しかったけど、そもそもjson記述の脆弱性みたいなもんだな。

[rti7743]

余計な機能が無能な働き者になってしまったか。　無能な働き者は銃殺もといオプションで無効にするしかないね。その後テストしてと余計な手間かかるね

[mohno]

これだから型が緩い言語は……にはならないの？