プロジェクト

全般

プロフィール

Rule of functional test for 36x » 履歴 » バージョン 8

Masato Nagasawa, 2010-10-28 20:45

1 1 Kousuke Ebihara
h1. Rule of functional test for 36x
2 2 Kousuke Ebihara
3
h2. この文書について
4
5 3 Kousuke Ebihara
OpenPNE 3.6.0 をリリースするために、 http://www.openpne.jp/archives/5532/#m-5 に記述されている、「CSRF と XSS に脆弱でないかどうか」という「最低限度のプログラマテストが機能しているような状態」に持って行くことを目的として、そのために必要な作業についての手順等を、作業者に向けて示すものです。
6 2 Kousuke Ebihara
7 3 Kousuke Ebihara
h2. 作業の目的
8 1 Kousuke Ebihara
9 3 Kousuke Ebihara
残念ながら、現時点での OpenPNE 開発チームのテスターのリソースが足りていません。テスターは、http://www.openpne.jp/archives/5532/#m-8 に記載されているような、「全機能に関する正常動作の動作テスト」を実施し、正常動作に関する安定動作を保証できるようにするのが精一杯です。
10
11
CSRF や XSS に脆弱でないかどうかのテストも非常に重要なのですが、少ないリソースで「全機能に対する正常動作のテスト」と「全機能の CSRF や XSS に関するテスト」を両立することはできません。
12
13
そこで、重要度の高い CSRF や XSS に関するテストだけでも、プログラマテストでカバーできるようにしよう、というのがこの作業の目的です。
14
15 1 Kousuke Ebihara
h2. 事前準備
16
17 3 Kousuke Ebihara
* 実際のコーディング作業の実施のために、 http://github.com/openpne/OpenPNE3 を fork してください
18
* 作業の進捗管理に使用しているスプレッドシートを更新するために、招待メールを希望のメールアドレスに送ります。希望するメールアドレスを、 ebihara@tejimaya.com に知らせてください。
19
20 2 Kousuke Ebihara
h2. 作業手順
21 1 Kousuke Ebihara
22 7 Kousuke Ebihara
h3. コア側の作業について
23
24 6 Kousuke Ebihara
作業の進捗管理に使用しているスプレッドシート( https://spreadsheets.google.com/pub?key=0Ain-euBnqQDLdGxzMnoyOFhBaUlQUVJnS0Y0YXNzZlE&hl=en&output=html )を開き、 XSS / CSRF の欄が空のものに対してテストをおこないます。
25 1 Kousuke Ebihara
26 3 Kousuke Ebihara
テストを書きたいアクションに対して、 GitHub における自分のユーザ名を XSS / CSRF の欄に記入してください。
27
28
その後、自分の OpenPNE 3 のリポジトリの stable-3.6.x ブランチ (もしくはそこから派生させたブランチ) に対して作業をおこなってください。
29
30
作業が完了したら、ある程度まとまった段階で、 ebihara 等に pull request して知らせてください。
31
32
修正を確認し、 openpne/OpenPNE3 に取り込んだ段階で、海老原がスプレッドシートの XSS / CSRF の欄を灰色にします。
33
34 4 Kousuke Ebihara
なお、 XSS もしくは CSRF のテストの必要がないものについては、 XSS / CSRF の欄を - に書き換えてください。その場合、報告の必要はありません。
35 1 Kousuke Ebihara
36 7 Kousuke Ebihara
h3. プラグイン側の作業について
37 1 Kousuke Ebihara
38 7 Kousuke Ebihara
プラグインでの作業でも、スプレッドシートの更新についてはコアと変わりません。 GitHub にプラグインが管理されている場合は、コアと同じように fork し、作業してください。
39
40
プラグインによっては、 GitHub ではないところで管理されているものがあります。その場合は修正作業の手順が異なりますので、 ebihara@tejimaya.com に相談してください。
41
42
なお、プラグイン側の作業は pull request せずに、 ebihara@tejimaya.com に報告してください。
43
44
h3. 具体的な作業内容
45
46
h4. XSS 脆弱性に関するテスト手順
47
48 3 Kousuke Ebihara
テストしたいアクションの全テンプレートを確認します。テンプレート中にユーザ入力値に基づいて動的に生成される箇所があれば、その出力についてテストを記述する必要があります。
49
50
本来はユーザ入力値に限らず、動的な値を埋め込むすべての場所に対して、 HTML 出力を意図している場合を除いて、 HTML 特殊文字のエスケープがおこなわれているかどうかを確認するべきですが、作業量や難易度等を考慮し、今回はそこまではおこなわず、あくまでユーザ入力値に限定します。
51
52
h4. DB 内データの出力に関するテスト
53
54
まず、そのテンプレート中でモデルから得られる値を埋め込んでいるすべての箇所を列挙します。
55
56
XSS 脆弱性テスト用のテストデータ (test/fixtures/xss_test_data.yml) を確認し、テストに必要な情報がなければ作成します。
57
58
テストデータは以下のような形式になっています。
59
60
<pre>
61
Member:
62
  html_member_1:
63
    id: 1055 # it means "XSS (X-55)"
64
    name: "<&\"'>Member.name ESCAPING HTML TEST DATA"
65
    is_active: 1
66
</pre>
67
68
文字列を受け入れるフィールドに対して、テスト用の文字列を指定する以外には普通の fixture と変わらずに記述できます。
69
70
テスト用の文字列は、かならず、以下のような書式でなければなりません。
71
72
<pre>
73
<&"'>モデル名.カラム名 ESCAPING HTML TEST DATA
74
</pre>
75
76
こうして挿入されたテストデータが表示されるアクションのためのテストにおいて、 opTesterHtmlEscape が提供するメソッド群を利用することで、意図通りのエスケープがおこなわれているかどうかを確認することができます。
77
78
そのアクションの出力に存在する、「Member.name」の値がすべてエスケープされているかどうかを確認するには、以下のように opTesterHtmlEscape::isAllEscapedData() を実行します。
79
80
<pre>
81
$browser = new opTestFunctional(new opBrowser(), new lime_test(null, new lime_output_color()));
82
$browser
83
->info('member/profile')
84
->get('member/1055')
85
->with('html_escape')->begin()
86
  ->isAllEscapedData('Member', 'name')
87
->end()
88
</pre>
89
90
反対に、そのアクションの出力に存在する、「Member.name」の値がすべてエスケープ*されていないかどうか*を確認するには、 opTesterHtmlEscape::isAllRawData() を実行してください。
91
92
<pre>
93
$browser = new opTestFunctional(new opBrowser(), new lime_test(null, new lime_output_color()));
94
$browser
95
->info('member/profile')
96
->get('member/1055')
97
->with('html_escape')->begin()
98
  ->isAllRawData('Member', 'name')
99
->end()
100
</pre>
101
102
また、モデルの値の出力が op_truncate() によって truncate される場合は、 opTesterHtmlEscape::countEscapedData() や opTesterHtmlEscape::countRawData() を用いてください。これは、モデル名やカラム名の他に、期待するデータの数や op_truncate() に渡されている引数も受け付けます。以下は、 op_truncate($string, $width = 36, $etc = '', $rows = 3) を使用したモデルの値の出力が 3 つ存在することをテストする場合の例です。
103
104
<pre>
105
$browser = new opTestFunctional(new opBrowser(), new lime_test(null, new lime_output_color()));
106
$browser
107
->info('member/profile')
108
->get('member/1055')
109
->with('html_escape')->begin()
110
  ->countEscapedData(3, 'Member', 'name', array(
111
    'width' => 36,
112
    'etc'   => '',
113
    'rows'  => 3,
114
  ))
115
->end()
116
</pre>
117
118
h4. それ以外のユーザ入力値に関するテスト
119
120
それ以外のユーザ入力値についても、変則的ではありますが、同じようにしてテストをおこなうことができます。
121
122
たとえば、アクションの出力中に含まれるリクエストパラメータ html の出力をテストしたい場合、以下のように記述してください。
123
124
125
<pre>
126
$browser = new opTestFunctional(new opBrowser(), new lime_test(null, new lime_output_color()));
127
$browser
128
->info('member/profile')
129
->get('member/1055', array('html' => opTesterHtmlEscape::getRawTestData('request', 'html')))
130
->with('html_escape')->begin()
131
  ->isAllEscapedData('request', 'html')
132
->end()
133
</pre>
134
135
これにより、 <&"'>request.html ESCAPING HTML TEST DATA という値の出力をテストすることになります。
136
137 1 Kousuke Ebihara
opTesterHtmlEscape::getRawTestData() および opTesterHtmlEscape::isAllEscapedData() の第一引数や第二引数の値は、そのアクション内でユニークなものになっていればなんでも構いません。
138 2 Kousuke Ebihara
139 7 Kousuke Ebihara
h4. CSRF 脆弱性に関するテスト手順
140 8 Masato Nagasawa
141
CSRFのチェックを行う場合には opTestFunctional::checkCSRF() を使用してください。
142
CSRFのエラー時の挙動は以下のいずれかに合わせる必要があり、それ以外はエラーとなります。
143
144
* #contents div:contains("前の画面を読み直して、操作をやり直してください。")
145
* #FormGlobalError td:contains("csrf token: 必須項目です。")
146
147
前者は sfWebRequest::checkCSRFProtection() した場合、後者はformにbind後renderした場合の実装となります。
148
149
実装例
150
<pre>
151
$browser = new opTestFunctional(new opBrowser(), new lime_test(null, new lime_output_color()));
152
~ログイン処理~
153
$browser->
154
->info('monitoring/deleteImage/id/1 - CSRF')
155
->post('monitoring/deleteImage/id/1', array())
156
->checkCSRF()
157
</pre>