静的解析ツールで生まれたSQLインジェクション | ドクセル

自己紹介 小川 経歴 ~2009: Webアプリ開発のバイト&業務委託 2009~2019: 三菱重工 ｲｯﾄ何も関係ない。野良のパソコンの大先生してた 2019~いま: root ip B2BのSaaS作ってます PHPとVue分かる人来て！！１ 面白かった脆弱性 - CVE-2023-22727 PHPフレームワーク CakePHP 4 のSQLインジェクション脆弱性 ORM limit(), offset() でSQLi CVSS v3 9.8 2023/01に修正済み CakePHP Laravelの次に使用率高いフレームワーク(多分) 割と使いやすいからお勧め 一般にコード品質が上がる静的解析ツールの使用で逆に発生

[ockeghem]

静的解析結果を修正した結果生まれた脆弱性としてはPHP 5.3.7のBug #55439があります。PHPはやはり最先端ですね! https://blog.tokumaru.org/2011/08/php537crypt.html

[rryu]

静的解析ツールの自動修正機能がPHPのDocコメントの引数の型を見て冗長とみなしたキャストを削除してくるのはさすがにやりすぎだと思う。

[strawberryhunter]

私ならExpressionInterfaceを渡せるという設計にはしないと思う。副問い合わせの結果をLIMIT句に渡そうと思ったらできるんだろうけど整数以外を渡したい場面は極めて少ない。／キャストを削除するというロジックがおかしい。

[nemoba]

PHPのcastで担保しちゃうのがそもそも良くないケースかと。分かり辛くて人が消す可能性もいくらでもあるし、チェックしても漏れるでしょ。

[theatrical]

静的解析って言うか自動修正かけてちゃんとチェックしないのがダメみたいな話なので、最後のまとめのGitHub漁るのはkotlinとかの変換でも探せばありそうな気もした。

[daira4000]

自動修正はちゃんと何が変わったか見ないとね…

[yhoriz]

コードの意味を変える「修正」提案をしちゃうのは普通に解析ツールのバグなのでは

[hamaco]

はーこわい。

[momontyo]

(int)キャスト消して残ったコードが謎だからその自動修正は思いとどまってほしいな。

[sudo_vi]

単にひどいLintに見える

[chiroruxx]

これだとlimitをstring引数で呼び出してる場所で静的解析が落ちそうだけどな。

[ys0000]

これは怖いというかまず気が付かない。キャスト削るのはよろしくない挙動ね。

[n_231]

単体テストで検知できないならちゃんと人がレビューしないとでしょう

[gfx]

"脆弱性絶対作るマシーン" / これはw（笑えない）/ ぼくも静的解析ツールの指摘でコードをいじったら（自動修正ではない）デグレしたことあるから他人事ではない。

[otchy210]

自動修正かけた時ってレビュー無しでコミットしちゃうん？フォーマット修正ならともかく、ロジックに関わる修正はレビューしたいな…。

[tyage]

めっちゃいい

[sh2]

自動修正が脆弱性を作り込んでしまった話

[rxh]

すごい。

[hiroomi]

逸脱処理かと思ったら、自働化だった

[nakamura-kenichi]

手を抜くからそうなる。

[rna]

こわみ。