意図しないディレクトリ・ファイル露出のテスト

[kiy0taka]

概要(Overview・Refs Issue)

セキュリティチェックシート の「意図しないディレクトリ・ファイルの露出」に対するテストを追加。

方針(Policy)

実装に関する補足(Appendix)

GitHub ActionsではパッケージングしてApacheにデプロイしたものに対してCodeceptionを実行しています。

テスト（Test)

相談（Discussion）

マイナーバージョン互換性保持のための制限事項チェックリスト

• 既存機能の仕様変更
• フックポイントの呼び出しタイミングの変更
• フックポイントのパラメータの削除・データ型の変更
• twigファイルに渡しているパラメータの削除・データ型の変更
• Serviceクラスの公開関数の、引数の削除・データ型の変更
• 入出力ファイル(CSVなど)のフォーマット変更

レビュワー確認項目

• 動作確認
• コードレビュー
• E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
• 互換性が保持されているか
• セキュリティ上の問題がないか

[codecov-commenter]

Codecov Report

Merging #5112 (00b507e) into 4.1-beta3 (3c430bf) will not change coverage.
The diff coverage is n/a.

@@            Coverage Diff             @@
##           4.1-beta3    #5112   +/-   ##
==========================================
  Coverage      68.17%   68.17%           
==========================================
  Files            457      457           
  Lines          24980    24980           
==========================================
  Hits           17029    17029           
  Misses          7951     7951           

Flag	Coverage Δ
tests	68.17% <ø> (ø)

Flags with carried forward coverage won't be shown. Click here to find out more.

---

Continue to review full report at Codecov.

Legend - Click here to learn more
Δ = absolute <relative> (impact), ø = not affected, ? = missing data
Powered by Codecov. Last update 3c430bf...00b507e. Read the comment docs.

[okazy]

ソースコードを確認して問題ありませんでした。

確認が必要な観点

• 開発ブランチ
• テストケースが足りているか
• 過去の脆弱性が検知できるか
• パッケージングに問題がないか

補足

• codeception/module-phpbrowser が PHP7.3 以上

[nanasess]

プラグインを有効化していないように見えますが、大丈夫でしょうか？

[kiy0taka]

初期インストールプラグインを有効化してテストするようにしました。

[okazy]

実行結果詳細

Codeception PHP Testing Framework v4.1.21
Powered by PHPUnit 7.5.20 by Sebastian Bergmann and contributors.
Generating Customers ...........
Generating Products ....................
Generating Orders .................................
  Generating AcceptanceTesterActions...

Acceptance (chrome, local) Tests (4) -----------------------
Modules: REST, PhpBrowser, \Helper\Acceptance, WebDriver, Asserts, MailCatcher
------------------------------------------------------------
Testing acceptance (chrome, local)
CL01DenyCest: Deny files | "varが公開されていないか","var/cache/prod/annotations.map"
Signature: CL01DenyCest:denyFiles
Test: codeception/acceptance/CL01DenyCest.php:denyFiles
Scenario --
 I send get "var/cache/prod/annotations.map"
  [Request] GET http://127.0.0.1:8080/var/cache/prod/annotations.map
  [Request Headers] []
  [Page] http://127.0.0.1:8080/var/cache/prod/annotations.map
  [Response] 403
  [Request Cookies] []
  [Response Headers] {"Date":["Thu, 19 Aug 2021 02:18:42 GMT"],"Server":["Apache/2.4.25 (Debian)"],"X-Frame-Options":["SAMEORIGIN"],"Content-Length":["276"],"Content-Type":["text/html; charset=iso-8859-1"]}
  [Response] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  <html><head>
  <title>403 Forbidden</title>
  </head><body>
  <h1>Forbidden</h1>
  <p>You don't have permission to access this resource.</p>
  <hr>
  <address>Apache/2.4.25 (Debian) Server at 127.0.0.1 Port 8080</address>
  </body></html>
  
 I see response code is 403
 PASSED 

CL01DenyCest: Deny files | ".envが公開されていないか",".env"
Signature: CL01DenyCest:denyFiles
Test: codeception/acceptance/CL01DenyCest.php:denyFiles
Scenario --
 I send get ".env"
  [Request] GET http://127.0.0.1:8080/.env
  [Request Headers] []
  [Page] http://127.0.0.1:8080/.env
  [Response] 403
  [Request Cookies] []
  [Response Headers] {"Date":["Thu, 19 Aug 2021 02:18:43 GMT"],"Server":["Apache/2.4.25 (Debian)"],"X-Frame-Options":["SAMEORIGIN"],"Content-Length":["276"],"Content-Type":["text/html; charset=iso-8859-1"]}
  [Response] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  <html><head>
  <title>403 Forbidden</title>
  </head><body>
  <h1>Forbidden</h1>
  <p>You don't have permission to access this resource.</p>
  <hr>
  <address>Apache/2.4.25 (Debian) Server at 127.0.0.1 Port 8080</address>
  </body></html>
  
 I see response code is 403
 PASSED 

CL01DenyCest: Deny files | "vendorが公開されていないか","vendor/symfony/config/README.md"
Signature: CL01DenyCest:denyFiles
Test: codeception/acceptance/CL01DenyCest.php:denyFiles
Scenario --
 I send get "vendor/symfony/config/README.md"
  [Request] GET http://127.0.0.1:8080/vendor/symfony/config/README.md
  [Request Headers] []
  [Page] http://127.0.0.1:8080/vendor/symfony/config/README.md
  [Response] 403
  [Request Cookies] []
  [Response Headers] {"Date":["Thu, 19 Aug 2021 02:18:43 GMT"],"Server":["Apache/2.4.25 (Debian)"],"X-Frame-Options":["SAMEORIGIN"],"Content-Length":["276"],"Content-Type":["text/html; charset=iso-8859-1"]}
  [Response] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  <html><head>
  <title>403 Forbidden</title>
  </head><body>
  <h1>Forbidden</h1>
  <p>You don't have permission to access this resource.</p>
  <hr>
  <address>Apache/2.4.25 (Debian) Server at 127.0.0.1 Port 8080</address>
  </body></html>
  
 I see response code is 403
 PASSED 

CL01DenyCest: Deny files | "codeceptionが公開されていないか","codeception/acceptance/config.ini"
Signature: CL01DenyCest:denyFiles
Test: codeception/acceptance/CL01DenyCest.php:denyFiles
Scenario --
 I send get "codeception/acceptance/config.ini"
  [Request] GET http://127.0.0.1:8080/codeception/acceptance/config.ini
  [Request Headers] []
  [Page] http://127.0.0.1:8080/codeception/acceptance/config.ini
  [Response] 403
  [Request Cookies] []
  [Response Headers] {"Date":["Thu, 19 Aug 2021 02:18:43 GMT"],"Server":["Apache/2.4.25 (Debian)"],"X-Frame-Options":["SAMEORIGIN"],"Content-Length":["276"],"Content-Type":["text/html; charset=iso-8859-1"]}
  [Response] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  <html><head>
  <title>403 Forbidden</title>
  </head><body>
  <h1>Forbidden</h1>
  <p>You don't have permission to access this resource.</p>
  <hr>
  <address>Apache/2.4.25 (Debian) Server at 127.0.0.1 Port 8080</address>
  </body></html>
  
 I see response code is 403
 PASSED 

------------------------------------------------------------
DEPRECATION: 'settings: bootstrap: _bootstrap.php' option is deprecated! Replace it with: 'bootstrap: _bootstrap.php' (not under settings section). See https://bit.ly/2YrRzVc 


Time: 6.26 seconds, Memory: 460.20 MB

OK (4 tests, 4 assertions)

[okazy]

パッケージング結果に、ライブラリ関連以外の差分がないことを確認しました。

.htaccess を無効化して、アクセス制御をした際に検知できることを確認しました。
okazy#96
https://github.com/okazy/ec-cube/runs/3396685374?check_suite_focus=true

[okazy]

@kiy0taka
動作確認して問題ありませんでした。

4.1-beta3 ブランチにプルリクをいただいていますが、こちらの内容は 4.1 ブランチに反映すべき内容かと思います。
現状 4.1 ブランチではプラグイン込みでパッケージングができないんですが、こちらどのように対応するのがよろしいでしょうか？

[okazy]

いったん 4.1-beta3 ブランチに取り込み、 4.1 ブランチに取り込めたらと思います。

[okazy]

ありがとうございます。取り込みました。