HTML5セキュリティ その3: HTML5のセキュリティもうちょい詳しく

HTML5のセキュリティ もうちょい詳しく HTML5セキュリティ その3 : JavaScript API Jun 6 2014 Yosuke HASEGAWA #owaspkansai

自己紹介 はせがわようすけ ネットエージェント株式会社 株式会社セキュアスカイ・テクノロジー 技術顧問 http://utf-8.jp/ OWASP Kansai Chapter Leader OWASP Japan Chapter Advisory Board member OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• http://utf-8.jp/

HTML5時代のWebアプリ 次々とリリースされるブラウザ 多数の新しい要素と属性 canvas, video, audio, input… 多数の新しいAPI Web Sockets, Web Storage, XHR Lv.2… 最適化されたJavaScriptエンジン 高速化された描画エンジン どのブラウザにどの機能が実装されてい るのか把握できない OWASP Kansai Local Chapter Meeting #2 #owaspkansai

次々リリースされるブラウザ 2001 2001 2003 2004 2005 2006 6 2007 2008 2009 7 1.0 1.5 2.0 1 6 7 OWASP Kansai Local Chapter Meeting #2 2 8 3 9 2011 8 3.0 3.5 10 10 15 3.6 23 5 4 2012 9 2 3 4 5 1 5 2010 11 6 12 #owaspkansai

HTML5の新機能 マルチメディアのサポート <video> <audio> <canvas>... 文書構造を表す要素 <section> <header> <footer> ... フォームの拡張 <input type="email"> ... JavaScript API Web Workers, WebSocket, File... その他… OWASP Kansai Local Chapter Meeting #2 #owaspkansai

HTML5時代のWebアプリ HTML5時代のブラウザ 高速化、高機能化 実行コードのブラウザ上へのシフト ネイティブアプリからWebアプリへ サーバ側で実行されていた処理がブラウザの JavaScript上へ 攻撃もクライアントサイドへシフト JavaScript上の問題点の増加 XSSやCSRFなどの比重が増加 OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Webの技術 楽しいですよね！

クロスサイトスクリプティング 強制ブラウズ 書式文字列攻撃 リモートファイルインクルード SQLインジェクション パストラバーサル LDAPインジェクション バッファオーバーフロー CSRF セッションハイジャック Webの技術 楽しいですよね！ OSコマンドインジェクション オープンリダイレクタ DoS セッション固定攻撃 HTTPレスポンス分割 XPathインジェクション メモリリーク HTTPヘッダインジェクション

HTML5を使った攻撃 攻撃側こそ新しいWebの技術をもっとも 活用できる クロスブラウザ対応不要！ 誰に遠慮することもなく使いたい技術を選ん で使える！ 多少不安定な技術でもかまわない！ OWASP Kansai Local Chapter Meeting #2 #owaspkansai

HTML5で増加する脅威 攻撃もクライアントサイドへシフト JavaScriptを通じた攻撃の比重が増加 XSSのリスクも増加 “ 多くの点から見て、XSS 脆弱性の危険性 はバッファ オーバーフローに匹敵します。 ” セキュリティに関するブリーフィング : Web に対する SDL の適用 http://msdn.microsoft.com/ja-jp/magazine/cc794277.aspx OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• http://msdn.microsoft.com/ja-jp/magazine/cc794277.aspx

HTML5で増加する脅威  XSS HTML5の新要素によるXSS JSコード量の増加 – DOM Based XSS AjaxデータによるXSS  CSRF XMLHttpRequestで攻撃者有利  オープンリダイレクタ JavaScriptによるリダイレクトの増加  その他 Ajaxデータからの情報漏えい APIの使い方の問題 WebSocket、Web Storage、Web Workers… OWASP Kansai Local Chapter Meeting #2 #owaspkansai

今日のはなし JavaScript API使用上の注意点 WebSocket Web Storage Web Workers OWASP Kansai Local Chapter Meeting #2 #owaspkansai

WebSocket

WebSocket JavaScriptにおける双方向通信機能 var ws = new WebSocket( "ws://example.jp/" ); ws.onopen = function( evt ){ console.log( "connected" ); }; ws.onmessage = function( evt ){ console.log( "received:" + evt.data ); }; ws.send( "hello" ); OWASP Kansai Local Chapter Meeting #2 #owaspkansai

WebSocket 重要な情報はTLS(wss://)を使うこと httpに対するhttpsと同様 // no TLS var ws = new WebSocket( "ws://example.jp/" ); // over TLS var ws = new WebSocket( "wss://example.jp/" ); OWASP Kansai Local Chapter Meeting #2 #owaspkansai

WebSocket Cookieはhttp/httpsと共有される http://example.jp/で発行されたCookie は https://example.jp/ ws://example.jp:8080/websocket wss://example.jp:8081/websocket などで共有される (secure属性がない場合) OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• https://example.jp/

WebSocket Cookieはhttp/httpsと共有される GET /index.html HTTP/1.1 Host: example.jp Connection: Keep-Alive GET /websocket HTTP/1.1 Upgrade: websocket HTTP/1.1 200 OK Connection: Upgrade Date: Tue, 1 Jan 2013 09:00:00 Host:GMT example.jp Content-Length: 2524 Origin: http://example.jp Content-Type: text/html; charset=utf-8 Sec-WebSocket-Key: mU6OBz5GKwUgZqbj2OtWfQ== Set-Cookie: session=12AFE9BD34E5A202; path=/ Sec-WebSocket-Version: 13 .... Sec-WebSocket-Protocol: chat, superchat Cookie: session=12AFE9BD34E5A202 HTTP/1.1 101 Switching Protocols Upgrade: WebSocket Connection: Upgrade Sec-WebSocket-Accept: IsCRPjZ0Vshy2opkKOsG2UF74eA= Sec-WebSocket-Protocol: chat .... OWASP Kansai Local Chapter Meeting #2 #owaspkansai

WebSocket secure属性付きのCookieはhttpsとwss で共有される https://example.jp/index.html wss://example.jp:8081/websocket OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• https://example.jp/index.html

Web Storage

Web Storage JavaScriptでデータを保存する機構 Cookieより大容量 Cookieと違って自動送信されない JavaScript上で明示的な読み書きが必要 sessionStorage.setItem( "foo", "abcdefg" ); var value = sesseionStorage.getItem( "foo" ); localStorage - 永続的に保持 sessionStorage - セッション間だけ保持 OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage localStorage 明示的に削除しない限りデータを保持 原則、オリジン単位でデータを保持 IE8ではhttpとhttpsで共有される Safariではプライベートブラウズ時に読み書 きできない sessionStorage.setItem( "foo", "data" ); // 例外発生 alert( sesseionStorage.getItem( "foo" ) ); OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage sessionStorage ブラウザが開かれている間データを保持 新しいタブでは異なるセッション 同一オリジンのiframe、frameではセッ ションを共有(IE8,9を除く) IE8ではhttpとhttpsで共有される OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage Cookieと違い、常にJavaScriptから読 み書き可能 Cookie – httponlyによってJSからアクセ ス不可 XSSが発生したときに盗み見を防ぐことがで きない パスワードや生年月日などの重要情報をWeb Storageに保存しないこと OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage Webアプリケーションの「セッション」 と異なるデータ保持期間 Webアプリケーション: セッション = ログ インからログアウトまで sessionStorage – (原則)タブを閉じるまで localStorage – 無期限 ログインしたユーザに紐づくデータの保 存期間に注意 OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage 他のユーザとデータが混在する可能性 ユーザA ログイン データを保存 タイムアウトによる 強制ログアウト ユーザB Web Storage ログイン データ読み込み 誤ったデータの使用 データ漏えい OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Storage 対策 ユーザIDと合わせて保存する sessionStorage.setItem( userid + "-foo", "data" ); 未ログインでのページロード時やログイン処 理時、ログアウト処理時にstorage内のデー タを削除する (ログアウト処理は確実に走るとは限らない) OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Workers

Web Workers
JavaScriptによるバックグラウンド処理
機構
多量の計算などの重い処理をUIをブロックせ
ず実行
var worker = new Worker( "background-task.js" );
worker.onmessage = function( event ){
alert( "completed:" + event.data );
};
// background-task.js
for( var i = 0, sum = 0; i < 1000; i++ ){
sum += i;
}
postMessage( sum );
OWASP Kansai Local Chapter Meeting #2

#owaspkansai

Web Workers 外部からのコードが実行されないよう注 意 // 脆弱なコード // http://example.jp/#data:text/javascript,onmessage=... var src = location.hash.substring(1); var worker = new Worker( src ); 攻撃者が用意したスクリプトがWorkerとし て実行される ただしDOM操作できないので脅威は低い OWASP Kansai Local Chapter Meeting #2 #owaspkansai

Web Workers importScriptsも同様 //脆弱なコード。importScriptsに任意のURIがわたる var src = location.hash.substring(1); var worker = new Worker( 'worker.js' ); worker.postMessage( src ); // worker.js onmessage = function( evt ){ if( evt.data ) importScripts( evt.data ); } OWASP Kansai Local Chapter Meeting #2 #owaspkansai

まとめ Conclusion

まとめ WebSocket 重要情報はTLSで保護されたwss:スキームで Cookieの共有に注意 Web Storage 重要情報は保存しない 複数ユーザの意図しないデータ共有に注意 Web Workers 外部由来のコードをworker srcとして使用 しない OWASP Kansai Local Chapter Meeting #2 #owaspkansai

参考文献

HTML5 調査報告 from JPCERT/CC OWASP Kansai Local Chapter Meeting #2 #owaspkansai

参考文献 http://utf-8.jp/ HTML5セキュリティ その1: 基礎編、XSS編 http://utf-8.jp/public/20130613/owasp.pptx HTML5セキュリティ その2: オープンリダイレクト、CSRF http://utf-8.jp/public/20131114/owasp.pptx OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• http://utf-8.jp/
• http://utf-8.jp/public/20130613/owasp.pptx
• http://utf-8.jp/public/20131114/owasp.pptx

質問タイム Question ?

Question? 質問 hasegawa@utf-8.jp hasegawa@netagent.co.jp @hasegawayosuke http://utf-8.jp/ OWASP Kansai Local Chapter Meeting #2 #owaspkansai

• http://utf-8.jp/