[スキル名] php-laravel-audit

PHP Laravel フレームワークセキュリティ監査（php-laravel-audit）

Laravelプロジェクトのソースコードにおける「フレームワーク特有のセキュリティメカニズム」と「よくある落とし穴のパターン」を分析し、以下の点に重点を置きます。

• 認証とルーティング保護（middleware/auth/Policies/Gates）
• CSRFとトークン保護（VerifyCsrfToken、exceptリスト、APIとCookie認証の違い）
• セッションとCookieのセキュリティ（session_regenerate_id、cookie flags、rememberメカニズムのリスクポイント）
• Eloquentマスアサインメントとrequest-to-model書き込みの欠陥（Model::create/fill/updateと$request->all()チェーン）
• Bladeテンプレートレンダリングにおける生の出力と式実行のリスク（{!! !!}、@php、およびエスケープされていない出力）
• Laravel署名付きURLとルーティング署名検証がクローズドループであるか（Signed middlewareと生成位置）

入力

ユーザー提供：

• source_path：Laravelプロジェクトのソースコードルートディレクトリ オプション：
• output_path：出力ディレクトリパス（デフォルト {source_path}_audit）

出力ディレクトリ

以下に出力されます。

{output_path}/framework_audit/
  laravel_{timestamp}.md

フレームワーク識別（必須）

このプロジェクトがLaravelであると識別した証拠点を提示する必要があります（根拠のない断言は許可されません）。

• composer.json の依存関係
• 典型的なディレクトリ：app/、routes/、config/
• コアエントリポイント：public/index.php、bootstrap/app.php

リスクタイプマッピング（必須）

すべての発見について、以下を明記する必要があります。

• 適用される汎用タイプコード：AUTH / CSRF / LOGIC / XSS / CFG / SESS / FILE など（shared/SEVERITY_RATING.md の利用可能なタイプコードから選択）
• このLaravelリスクがなぜその汎用タイプコードに分類されるのか（マッピングロジックを1文で説明）

必須監査リスト（必須：各項目をチェックし、結果を出力）

1) 認証と権限保護（AUTH）

以下の証拠を特定し、出力する必要があります。

• 保護されたルートのエントリポイント：routes/web.php および routes/api.php 内の middleware('auth') / middleware('can') / Route::middleware([{value}])->group({value})
• 権限ロジック：Gate:: / Policy / authorize / can / ->can({value}) の位置の証拠
• リスク判断：「ログイン済みだがリソースレベルの帰属検証がない」パターンが存在するか（例：userの存在のみを判断し、ownerを判断しない）
• ルーティング命名とリソースバインディング：Route Model Binding が存在するが、帰属検証が行われていないか

出力要件：

• 欠落が発見された場合：「欠落位置 + 迂回される可能性のあるリクエストタイプ（GET/POST/API）+ 修正提案」を提示する必要があります。
• 発見されなかった場合：「未発見の判断根拠」（例：except/guardが空、機密ルートはすべてミドルウェアがあるなど）も出力する必要があります。

2) CSRFとトークン保護（CSRF）

以下を特定する必要があります。

• CSRFミドルウェア：VerifyCsrfToken または同等のミドルウェア
• exceptリスト：どのルートが除外されているか
• APIとCookie認証の違い：プロジェクトがAPIにCookie/セッションを使用している場合、APIルートが依然としてCSRF保護されているかを確認する必要があります。

出力要件：

• 「迂回される可能性のある分岐」をカバーする必要があります。例：一部のメソッドのみが検証されない、特定のContent-Typeのみが検証されない、AJAX時のみスキップされるなど。

3) セッションとCookieのセキュリティ（SESS）

以下を特定する必要があります。

• ログイン後のセッション固定攻撃対策：session_regenerate_id またはLaravelの対応するメカニズムの証拠が存在するか
• Cookieフラグ：HttpOnly/Secure/SameSite の設定位置（config/session.php またはカスタムミドルウェア）
• logout：ログアウト時にセッションがクリアされるか

4) Eloquentマスアサインメント（LOGIC）

以下のデータフローチェーンの証拠を特定し、出力する必要があります。

• リクエスト入力の取得：$request->all()、$request->input({value})、json_decode({value})
• モデルへの書き込み点：Model::create({value}) / Model::update({value}) / $model->fill({value}) / ->save()
• モデルのフィル戦略：$fillable / $guarded の設定位置

判定ルール：

• $request->all() または同等の入力が create/fill/update に直接渡され、かつモデルに機密フィールドに対するデナイリスト（または$fillableが広すぎる）が欠けている場合、リスクを出力します。

5) Blade生出力（XSS）

以下を特定し、出力する必要があります。

• 生出力：{!! {value} !!}、@php、および「エスケープをスキップする」任意のディレクティブまたはコールバック
• ユーザー入力元：$request、request()、データベースフィールドのバックフィルだがエスケープされていない場合の証拠

判定ルール：

• 生出力の内容にユーザーが制御可能なフィールドが存在し、かつ e() または同等のエスケープが行われていない場合、リスクを XSS または関連するテンプレートインジェクションリスクにマッピングして出力します（プロジェクトでテンプレート式実行を使用している場合は TPL にマッピング）。

6) 署名付きURLと署名検証のクローズドループ（AUTH または CFG）

以下を特定する必要があります。

• 署名付きURLの生成：URL::temporarySignedRoute / URL::signedRoute
• 検証ミドルウェア：middleware('signed') または同等の検証メカニズム

判定ルール：

• 生成のみで署名検証ミドルウェアがない場合、または検証ロジックが迂回される可能性がある場合、リスクを AUTH または CFG にマッピングして出力します。

観測可能なPoC（必須：フレームワーク特有の観測可能な検証フレームワーク）

以下のいずれか2つのタイプのうち少なくとも1つを提示し、観測点を明確に記述してください。

• 認証の欠落/権限昇格の迂回：実際のルートとペイロードのターゲット（例：オブジェクトIDの切り替え）を提示
• CSRFの欠落/迂回：実際のルートと、トークンを携帯する必要がある/ないシナリオを提示し、観測点を説明

PoC出力要件：

• 実際のルート（routes/*.php の実際にヒットする位置から抽出）を含める必要があります。
• 実際のフィールド名（例：csrf フィールド、またはフォームアクション）を含める必要があります。

出力完全性チェック（必須）

• [ ] 出力にLaravel識別証拠点が含まれています。
• [ ] CSRF/Auth/Session/Mass Assignment/Blade raw/Signed URL の6つの主要な項目すべてに「チェック結果」があります。
• [ ] すべてのリスクに「マッピングタイプコード + 位置証拠 + 観測可能な検証フレームワーク + 修正提案」があります。