[スキル名] php-archive-extract-audit

PHPアーカイブ解凍パス・トラバーサル監査（php-archive-extract-audit）

PHPプロジェクトにおける「アーカイブファイルをディスクディレクトリに解凍/展開する」実装ロジックを分析します。Zip Slipのような問題に重点を置いて監査します。これは、攻撃者が巧妙に作成したアーカイブエントリ名（entry name/path）によって、最終的な書き込み先がターゲットディレクトリから逸脱する可能性がある問題です。

分類と番号付け

• 詳細については、shared/SEVERITY_RATING.mdをご覧ください。
• 脆弱性番号：{C/H/M/L}-ARCHIVE-{連番}

ARCHIVE Sink（必須）

アーカイブ展開の呼び出し点を特定し、追跡します。少なくとも以下を含みます。

• ZipArchive->extractTo($destination, {value})
• ZipArchive->extract($destination, {value})（プロジェクトがラッパーを使用している場合）
• PharData->extractTo($destination, {value})
• Archive_Tar->extractTo($destination, {value})（プロジェクトがPEAR/同等のラッパーを使用している場合）
• Archive_Tar->extract($destination, {value})（プロジェクトがラッパーを使用している場合）
• カスタム解凍ラッパー：最終的には各エントリ名に対して「destinationディレクトリに結合してディスクに書き込む」処理を行います。

必須の証拠点（強制：trace契約の整合性）

各ARCHIVEの疑わしい脆弱性について、php-route-tracerのtrace出力における## 9) Sink Evidence Type ChecklistのARCHIVE行に対応する証拠要点を項目ごとに引用する必要があります（ステータスは「検証待ち」でも構いませんが、証拠の引用は必須です）。

1. EVID_ARCHIVE_EXTRACT_CALLSITE：アーカイブ解凍/展開呼び出し点の証拠（extractTo/extractToラッパー関数のエントリ）
2. EVID_ARCHIVE_ENTRY_NAME_SOURCE：エントリ名/パスのソース証拠（アーカイブコンテンツのエントリリスト、またはユーザー入力によって構築されたエントリパス）
3. EVID_ARCHIVE_ENTRY_SANITIZATION：エントリパスのサニタイズ/正規化の証拠（../、絶対パス、ドライブレターなどのパス・トラバーサル・フラグメントの削除/拒否、およびエンコーディング/同形文字の処理方法）
4. EVID_ARCHIVE_EXTRACT_BASE_DIR：解凍ベースディレクトリの証拠（destination/base directoryのソースと渡し方）
5. EVID_ARCHIVE_FINAL_TARGET：最終的な解決済み書き込み先の証拠（エントリ結合後の解決済み最終パス、およびベースディレクトリ制約の判定が成立するかどうか）

悪用可能性と脆弱性成立条件（必須）

以下を出力し、判断する必要があります。

• エントリ名/パスが攻撃者によって制御可能かどうか（少なくとも攻撃者が作成したzipの項目から）
• ベースディレクトリ制約が「最終パス解決後」に実際に実行されているかどうか（例：realpath + プレフィックス検証であり、単なる文字列置換ではない）
• 回避策が存在するかどうか：二重エンコーディング、混合区切り文字、Windowsドライブレター、絶対パス、末尾/空白/制御文字、Unicode同形文字など
• 書き込みが実際にターゲットディレクトリ外で発生しているかどうか（または少なくとも最終ターゲットが逸脱していることを証明できるかどうか）

tracerトリガー条件（必須）

以下のいずれかの条件を満たす場合、php-route-tracerに依存する必要があります。

• destination/base directoryまたはエントリ名が多層の関数/オブジェクトラッパーを介してextractToに入る場合
• エントリ名リストまたは解凍パスに分岐ロジックが存在する場合（特定のエントリのみがフィルタリングされる/特定の分岐がフィルタリングされない）

レポート出力

以下に出力します。

{output_path}/vuln_audit/archive_{timestamp}.md

脆弱性項目テンプレート（強制）

各脆弱性は以下の構造に従う必要があります（省略不可）。

### [{等級プレフィックス}-ARCHIVE-{連番}] アーカイブ解凍パス・トラバーサル（Zip Slip）リスク

| 項目 | 情報 |
|------|------|
| 深刻度 | {🔴/🟠/🟡/🔵} (CVSS {score}) |
| 可達性 (R) | {0-3} - {理由} |
| 影響範囲 (I) | {0-3} - {理由} |
| 利用複雑度 (C) | {0-3} - {理由} |
| 悪用可能性 | ✅ 確認済み / ⚠️ 検証待ち / ❌ 悪用不可 / 🔍 環境依存 |
| 位置 | {file}:{line} ({Function/Class}) |

#### データフローチェーン（Source -> Transform -> Sink）
（各行に記述：アーカイブエントリ名/パスの入力 -> サニタイズ/正規化 -> ベースデスティネーション結合 -> 解決済み最終ターゲット -> ベース制約からの逸脱の有無 -> 実際の書き込み/展開呼び出し点）

#### 悪用可能な前提条件
- 認証要件：{不要/ログイン必要/特定の権限必要}
- 入力制御性：{完全に制御可能/条件付きで制御可能/制御不可}
- トリガー条件：{分岐/例外パス/特定のアーカイブ形式が必要/特定のサーバーファイル権限が必要}

#### 証拠引用（強制：php-route-tracerから）
以下を項目ごとに引用する必要があります。
- `EVID_ARCHIVE_EXTRACT_CALLSITE`：{証拠点の簡単な説明}
- `EVID_ARCHIVE_ENTRY_NAME_SOURCE`：{証拠点の簡単な説明}
- `EVID_ARCHIVE_ENTRY_SANITIZATION`：{証拠点の簡単な説明（欠落している場合は「フィルタリング/正規化の不足が未発見」と記述し、trace証拠を提示）}
- `EVID_ARCHIVE_EXTRACT_BASE_DIR`：{証拠点の簡単な説明}
- `EVID_ARCHIVE_FINAL_TARGET`：{証拠点の簡単な説明（解決済みターゲットが逸脱しているかどうかを説明）}

#### 検証PoC（強制：観測可能な検証フレームワーク）
```http
{HTTP Method} {実際のルートと完全なパラメータ} HTTP/1.1
Host: {host}
{必要なHeader/Session/JWT/Cookie}

{Payload}

PoC生成/トリガー戦略（何を観察するかを明確に記述する必要があります）：

• パス・トラバーサル・エントリを含む悪意のあるアーカイブを作成します。例：../../../../var/www/html/pwn.php（またはWindowsパスのバリアント）
• 解凍ルートをトリガーします（通常はアーカイブのアップロード、またはダウンロード可能なURLを提供してサーバー側で解凍）。
• 観察点：ターゲットディレクトリ外にファイルが出現するかどうか、書き込み先にアクセスできるかどうか（サイトの権限/書き込み可能ディレクトリポリシーによる）。

推奨される修正

• 「最終的な解決済み書き込み先」を基準とします：エントリ名を正規化した後、realpath + ベースプレフィックス検証を実行します。
• 絶対パス/ドライブレター/バックスラッシュ区切り/ディレクトリの上位移動を禁止します：エントリ名にトラバーサル・フラグメントが発見された場合は、直接拒否またはスキップします。
• アーカイブ処理フローにおいて、エントリ名リストを一元的にサニタイズし、解凍プロセスに一貫したベース制約を強制します。
• コード検索ステートメントを提示します：rgを使用して、すべてのextractTo/extract/アーカイブ解凍ラッパーのエントリとdestination結合ロジックを特定します。

tracer証拠欠落の処理（強制）

• traceにおいて、いずれかの主要な証拠点（EVID_ARCHIVE_EXTRACT_CALLSITE / EVID_ARCHIVE_ENTRY_NAME_SOURCE / EVID_ARCHIVE_ENTRY_SANITIZATION / EVID_ARCHIVE_EXTRACT_BASE_DIR / EVID_ARCHIVE_FINAL_TARGET）が欠落しているか、この脆弱性に対応できない場合：その脆弱性のステータスは⚠️検証待ちとしかマークできず、直接✅悪用可能と確認済みとすることはできません。