jpskill.com
🛠️ 開発・MCP コミュニティ

php-filesystem-audit

PHPファイルシステム操作のセキュリティリスクを監査し、特にmkdirやchmodなどの操作におけるパス検証の回避や書き込みチェーンの悪用可能性を評価するためのツールです。

📜 元の英語説明(参考)

PHP 文件系统操作审计工具。聚焦 mkdir/chmod/chown/unlink/rmdir/link/symlink/readlink/touch/权限与 TOCTOU 等操作的安全风险,为路径校验绕过与写入链利用提供“可利用性增强证据”(不替代 FILE/UPLOAD/WRITE 等 sink 子审计)。

🇯🇵 日本人クリエイター向け解説

一言でいうと

PHPファイルシステム操作のセキュリティリスクを監査し、特にmkdirやchmodなどの操作におけるパス検証の回避や書き込みチェーンの悪用可能性を評価するためのツールです。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o php-filesystem-audit.zip https://jpskill.com/download/6007.zip && unzip -o php-filesystem-audit.zip && rm php-filesystem-audit.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6007.zip -OutFile "$d\php-filesystem-audit.zip"; Expand-Archive "$d\php-filesystem-audit.zip" -DestinationPath $d -Force; ri "$d\php-filesystem-audit.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して php-filesystem-audit.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → php-filesystem-audit フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

PHP ファイルシステム操作監査(php-filesystem-audit)

PHP プロジェクトにおけるファイルシステムへの重要な操作を分析し、特に以下の点とどのように連携しているかに焦点を当てます。

  • パス検証/正規化の失敗(ディレクトリトラバーサル、basePath の欠落)
  • 書き込み/読み取り/インクルードの着地点チェーン
  • 書き込み後のトリガー(実行可能性、インクルード可能性)
  • 競合状態(TOCTOU)

これらの連携により、実際の悪用可能性を高めます。

適用範囲(必須)

以下の点について、「証拠点 + リスク説明 + 悪用可能性判断」を網羅し、出力する必要があります。

1) 作成/ディレクトリ操作

  • mkdir($path, $mode, $recursive)
  • rmdir($path)
  • touch($path)
  • tmpfile() / tempnam()
  • フレームワークがカプセル化したディレクトリ作成(例: Storage::put/ensureDirectory の基盤となるカプセル化、識別可能な場合)

2) 権限/所有権の変更(権限昇格チェーンや実行ポリシーの回避によく使用されます)

  • chmod/chown/chgrp
  • umask

3) リンクとリダイレクトの着地点(一般的な symlink/hardlink 回避)

  • symlink($target, $link)
  • link($target, $link)
  • readlink($path)

4) 削除とクリーンアップ(TOCTOU または上書きチェーンと組み合わせる)

  • unlink($path)
  • unlink/rename の変種による削除
  • rename($src, $dest)(着地点変更時に TOCTOU に特に注意が必要)
  • copy/move の変種(「着地点準備ステップ」として出現する場合)

5) パス競合と TOCTOU(個別に監査必須)

「チェック-使用分離」のコードパターンについて判定します。

  • if (realpath/canonicalize + プレフィックス検証) の後、何らかの分岐/例外処理で再度 join/open/write が行われているか(パスが変化する可能性)
  • 最初に書き込み可能かを判断してから書き込む、最初にチェックしてからファイル操作を実行するパターンが存在するか
  • シンボリックリンクの解決/不整合な解決が存在するか(チェック時と実際に開く時の解決済みパスが一致しない)

主要な出力要件(必須)

各発見には以下を含める必要があります。

  1. 位置の証拠:ファイルパスと関数/呼び出し点(可能な限り行番号を記載。行番号が見つからない場合は特定が必要とマーク)

  2. 操作タイプ:作成/権限/リンク/削除/名前変更/コピーなど

  3. パス制御のソース:パスパラメータが GET/POST/SESSION/設定、またはハードコードされているか

  4. チェーンとの関係(少なくとも1つ選択して説明必須):

    • WRITE/UPLOAD の着地点の実行可能性またはインクルード可能性との関連
    • FILE(読み取り/インクルード)または ARCHIVE(解凍着地点)との関連
    • 認証/リソース所有権との関連(例:管理者ディレクトリのみ書き込み権限があるが回避されている)
    • TOCTOU 競合との関連(チェック点 -> 使用点の間でパスが置き換えられる可能性)

  5. 悪用可能性判断:

    • ✅ 確認済み:このファイルシステム操作が、悪用チェーンの主要な前提条件を提供すること(または WRITE/UPLOAD/FILE の証拠と閉ループを形成すること)を証明できる。
    • ⚠️ 検証待ち:リスクは存在するが、主要な前提条件が欠けているか、トレース/解析の証拠が不十分。
    • ❌ 悪用不可:強力な制約がある(baseDir の許可リストが有効、解決済みパスの一貫性保護、権限が固定されており変更不可、競合ウィンドウが解消されている)。
    • 🔍 環境依存:特定のファイルシステム/権限/並行処理のタイミング/サーバー側のディレクトリ構造に依存する。

  6. トリガー可能性の制約(必須):

    • 「具体的な HTTP ルート/エントリポイントによってトリガーされ得る」ファイルシステム操作のみを脆弱性項目として生成し、PoC に使用できる実際のルートと完全なパラメータを提供できる必要があります。
    • 具体的なルートエントリポイントを特定できない場合(純粋なバックグラウンドタスク/定期タスク/コマンドラインツールでエントリポイントが追跡できない場合など)、その FS リスクはレポートに「エントリポイントを特定できなかったため、項目生成をスキップします(手動でトリガーパスを補完する必要があります)」とマークするのみとし、実行不可能な PoC を脆弱性項目テンプレートに強制的に出力してはなりません。

レポート出力

以下に出力します。

{output_path}/vuln_audit/fs_{timestamp}.md

脆弱性番号の規則(推奨:FS)

  • 詳細については、shared/SEVERITY_RATING.md を参照してください。
  • 脆弱性番号:{C/H/M/L}-FS-{連番}

脆弱性項目テンプレート(必須)

各発見は以下の構造に従う必要があります(省略不可)。

### [{等級プレフィックス}-FS-{連番}] ファイルシステム操作チェーンリスク(権限/リンク/削除/TOCTOU/パス制御)

| 項目 | 情報 |
|------|------|
| 深刻度 | {🔴/🟠/🟡/🔵} (CVSS {score}) |
| 到達可能性 (R) | {0-3} - {理由} |
| 影響範囲 (I) | {0-3} - {理由} |
| 悪用複雑度 (C) | {0-3} - {理由} |
| 悪用可能性 | ✅ 確認済み / ⚠️ 検証待ち / ❌ 悪用不可 / 🔍 環境依存 |
| 位置 | {file}:{line} ({Function/Class}) |

#### データフローチェーン(Source → Path Control → FS Operation → Chain Influence)
(ユーザー/コンテキスト入力がどのようにパス制御変数に入り、realpath/canonicalize およびプレフィックス検証を経由したか、最終的に mkdir/chown/symlink/unlink/rename/などのファイルシステム操作パラメータにどのように到達したか、そしてそのファイルシステム操作が後続のチェーン能力(WRITE/UPLOAD/FILE/ARCHIVE/CMD/TPL/EXPR/DESER など)にどのように影響するかを一行ずつ記述します)

#### 悪用可能な前提条件
- 認証要件:{不要/ログイン必要/特定の権限必要}
- 入力制御性:{完全に制御可能/条件付きで制御可能/制御不可}
- トリガー条件:{分岐/例外パス/特定のファイルシステム権限が必要/競合ウィンドウが必要/特定のディレクトリ構造が必要}
- チェーンの引き継ぎ:{他のシンクカテゴリに「悪用可能性の向上」をどのように提供するか(書き込み着地点/インクルード可能性/権限昇格/実行ポリシーの回避/競合のトリガー)}

#### 検証 PoC(必須:観測可能な検証フレームワーク)
```http
{HTTP Method} {実際のルートと完全なパラメータ} HTTP/1.1
Host: {host}
{必要な Header/Session/JWT/Cookie}

{Payload}

PoC 出力/観測点(明確に記述必須):

  1. この FS 操作によって引き起こされるファイルシステムの状態変化が観測可能か(例:ターゲットパス下のファイル作成/権限変化/リンクの指す先の変化/削除結果/最終的な着地点の存在)。
  2. TOCTOU の場合:「チェック点と使用点の解決済みパスの不一致/ウィンドウが悪用可能である」という観測可能な現象を示す(例:並行トリガーによる最終的な着地点の変化)。

証拠引用(必須:ソースコードスニペットから)

位置に対応する証拠スニペットを少なくとも3つ含める必要があります(重要な行をテキストで直接繰り返すこともできます)。

  1. FS 操作の呼び出し点(mkdir/chmod/chown/symlink/unlink/rename など)およびパラメータの位置(file:line)
  2. パス検証/正規化ロジック(realpath/canonicalize/baseDir プレフィックス検証)および FS 操作との関係(同一関数内または関数間)
  3. パス制御のソース(GET/POST/SESSION/設定のハードコードなど)およびその伝達チェーン

推奨される修正

  • パス検証と実際の使用は、同じ解決済みターゲットにバインドする必要があります:realpath/canonicalize の後、同じ値を使用して open/rename/write を行います(TOCTOU を回避するため)。
  • 攻撃者によって影響され得るパスに対して、「最初に検証してから使用する」という分割を禁止します。分割が必須の場合、同じシステムコール/同じファイル記述子コンテキスト内で完了する必要があります。
  • symlink/hardlink については、ターゲットの着地点でリンク防止ポリシーを有効にします(プラットフォームがサポートしている場合はシンボリックリンクの追跡を無効にするか、inode/ファイル記述子に基づいて一貫性を検証します)。
  • 権限変更は最小限に抑え、ユーザーが影響できないようにする必要があります。攻撃者が chmod/chown のパスを制御できないようにします。

コード検索クエリ(必須)

rg -n "(mkdir\\(|rmdir\\(|touch\\(|tmpfile\\(|tempnam\\(|chmod\\(|chown\\(|chgrp\\(|symlink\\(|readlink\\(|link\\(|unlink\\(|rename\\(|copy\\(|symlink\\()" .
rg -n "(realpath\\(|canonicalize\\(|dirname\\(|basename\\(|baseDir|dest(path)?|target(path)?)" .

修正提案(必須要点)

  • パス検証と実際の使用は、同じ解決済みターゲットにバインドする必要があります:realpath/canonicalize の後、同じ値を使用して open/rename/write を行います(TOCTOU を回避するため)。
  • 攻撃者によって影響され得るパスに対して、「最初に検証してから使用する」という分割を禁止します。分割が必須の場合、同じシステムコール/同じファイル記述子コンテキスト内で完了する必要があります。
  • symlink/hardlink については、ターゲットの着地点でリンク防止ポリシーを有効にします(プラットフォームがサポートしている場合はシンボリックリンクの追跡を無効にするか、inode/ファイル記述子に基づいて一貫性を検証します)。
  • 権限変更は最小限に抑え、ユーザーが影響できないようにする必要があります。攻撃者が chmod/chown のパスを制御できないようにします。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

PHP 文件系统操作审计(php-filesystem-audit)

分析 PHP 项目中对文件系统的关键操作,特别关注这些操作如何与:

  • 路径校验/归一化失败(目录遍历、basePath 缺失)
  • 落点写入/读取/包含链路
  • 写后触发(可执行性、可包含性)
  • 竞争条件(TOCTOU)

发生联动,从而提升真实利用可能性。

覆盖范围(必做)

必须覆盖并输出“证据点 + 风险解释 + 可利用性判断”的点:

1) 创建/目录操作

  • mkdir($path, $mode, $recursive)
  • rmdir($path)
  • touch($path)
  • tmpfile() / tempnam()
  • 框架封装的目录创建(如 Storage::put/ensureDirectory 的底层封装,若识别得到)

2) 权限/所有权变更(常用于提权链或绕过执行策略)

  • chmod/chown/chgrp
  • umask

3) 链接与重定向落点(常见 symlink/hardlink 绕过)

  • symlink($target, $link)
  • link($target, $link)
  • readlink($path)

4) 删除与清理(结合 TOCTOU 或覆盖链)

  • unlink($path)
  • unlink/rename 变体删除
  • rename($src, $dest)(用于落点变更时需特别关注 TOCTOU)
  • copy/move 变体(当作为“落点准备步骤”出现)

5) 路径竞态与 TOCTOU(必须单独审计)

对“检查-使用分离”的代码模式给出判定:

  • 是否存在 if (realpath/canonicalize + 前缀校验) 后又在某个分支/异常处理里重复 join/open/write(路径可能变化)
  • 是否存在先判断可写/再写入、先检查再执行文件操作
  • 是否存在符号链接解析/不一致解析(检查时与实际打开时 resolved path 不一致)

关键输出要求(强制)

每条发现必须包含:

  1. 位置证据:文件路径与函数/调用点(尽量带行号;找不到行号则标注待定位)

  2. 操作类型:创建/权限/链接/删除/重命名/拷贝等

  3. 路径控制来源:路径参数来自 GET/POST/SESSION/配置还是硬编码

  4. 跟链路的关系(必须至少选一条说明):

    • WRITE/UPLOAD 落点可执行性或可包含性关联
    • FILE(读取/包含)或 ARCHIVE(解压落点)关联
    • 与鉴权/资源归属关联(例如仅管理员目录有写权限但绕过)
    • 与 TOCTOU 竞态关联(检查点 -> 使用点之间路径可能被替换)

  5. 可利用性判断:

    • ✅ 已确认:能证明利用链的关键前置条件由此文件系统操作提供(或与 WRITE/UPLOAD/FILE 的证据形成闭环)
    • ⚠️ 待验证:存在风险,但缺少某个关键前置条件或 trace/解析证据不足
    • ❌ 不可利用:有强约束(baseDir allowlist 生效、resolved path 一致性保护、权限固定且无法更改、竞态窗口被消除)
    • 🔍 环境依赖:需依赖特定文件系统/权限/并发时序/服务端目录结构

  6. 可触发性约束(强制):

    • 仅对“能够被具体 HTTP 路由/入口触发”的文件系统操作生成漏洞条目,并且必须能提供真实路由与完整参数用于 PoC。
    • 若无法定位具体路由入口(如纯后台任务/定时任务/命令行工具且入口不可追踪),该 FS 风险只能在报告中标注“未能定位入口,跳过条目生成(待人工补齐触发路径)”,不得仍按漏洞条目模板强行输出不可执行 PoC。

报告输出

输出到:

{output_path}/vuln_audit/fs_{timestamp}.md

漏洞编号规范(建议:FS)

  • 详见:shared/SEVERITY_RATING.md
  • 漏洞编号:{C/H/M/L}-FS-{序号}

漏洞条目模板(强制)

每条发现必须遵循以下结构(不得省略):

### [{等级前缀}-FS-{序号}] 文件系统操作链风险(权限/链接/删除/TOCTOU/路径控制)

| 项目 | 信息 |
|------|------|
| 严重等级 | {🔴/🟠/🟡/🔵} (CVSS {score}) |
| 可达性 (R) | {0-3} - {理由} |
| 影响范围 (I) | {0-3} - {理由} |
| 利用复杂度 (C) | {0-3} - {理由} |
| 可利用性 | ✅ 已确认 / ⚠️ 待验证 / ❌ 不可利用 / 🔍 环境依赖 |
| 位置 | {file}:{line} ({Function/Class}) |

#### 数据流链(Source → Path Control → FS Operation → Chain Influence)
(逐行写出:用户/上下文输入如何进入路径控制变量、是否经过 realpath/canonicalize 及前缀校验、最终如何落到 mkdir/chown/symlink/unlink/rename/等文件系统操作参数、以及该文件系统操作如何影响后续链路能力:WRITE/UPLOAD/FILE/ARCHIVE/CMD/TPL/EXPR/DESER 等)

#### 可利用前置条件
- 鉴权要求:{无需/需登录/需特定权限}
- 输入可控性:{完全可控/条件可控/不可控}
- 触发条件:{分支/异常路径/需要特定文件系统权限/需要竞态窗口/需要特定目录结构}
- 链路承接:{它如何为其它 sink 类别提供“可利用性增强”说明(写入落点/可包含性/权限提升/绕过执行策略/触发竞态)}

#### 验证 PoC(强制:可观测验证框架)
```http
{HTTP Method} {真实路由与完整参数} HTTP/1.1
Host: {host}
{必要 Header/Session/JWT/Cookie}

{Payload}

PoC 输出/观察点(必须写清楚):

  1. 由该 FS 操作造成的文件系统状态变化是否可观测(例如:目标路径下文件创建/权限变化/链接指向变化/删除结果/最终落点存在性)。
  2. 若为 TOCTOU:展示“检查点与使用点 resolved path 不一致/窗口可被利用”的可观测现象(例如并发触发导致最终落点改变)。

证据引用(强制:来自源码片段)

必须至少包含三段与定位对应的证据片段(可以直接在文本中复述关键行):

  1. FS 操作调用点(mkdir/chmod/chown/symlink/unlink/rename 等)及参数位置(file:line)
  2. 路径校验/归一化逻辑(realpath/canonicalize/baseDir 前缀校验)及其与 FS 操作之间的关系(同一函数内或跨函数)
  3. 路径控制来源(GET/POST/SESSION/配置硬编码等)及其传递链

建议修复

  • 路径校验与实际使用必须绑定到同一个 resolved target:realpath/canonicalize 后用同一个值进行 open/rename/write(避免 TOCTOU)
  • 禁止对可被攻击者影响的路径进行“先校验后使用”的拆分;若必须拆分,应在同一系统调用/同一文件描述符上下文内完成
  • 对 symlink/hardlink:在目标落点启用防链接策略(平台支持时禁用跟随符号链接,或基于 inode/文件描述符校验一致性)
  • 权限变更必须最小化并确保不可由用户影响;避免攻击者能控制 chmod/chown 的路径

代码搜索语句(强制)

rg -n "(mkdir\\(|rmdir\\(|touch\\(|tmpfile\\(|tempnam\\(|chmod\\(|chown\\(|chgrp\\(|symlink\\(|readlink\\(|link\\(|unlink\\(|rename\\(|copy\\(|symlink\\()" .
rg -n "(realpath\\(|canonicalize\\(|dirname\\(|basename\\(|baseDir|dest(path)?|target(path)?)" .

修复建议(强制要点)

  • 路径校验与实际使用必须绑定到同一个 resolved target:realpath/canonicalize 后用同一个值进行 open/rename/write(避免 TOCTOU)
  • 禁止对可被攻击者影响的路径进行“先校验后使用”的拆分;若必须拆分,应在同一系统调用/同一文件描述符上下文内完成
  • 对 symlink/hardlink:在目标落点上启用防链接策略(平台支持时禁用跟随符号链接,或基于 inode/文件描述符校验一致性)
  • 权限变更必须最小化并确保不可由用户影响;避免攻击者能控制 chmod/chown 的路径