XSS再入門

632 Views

August 25, 13

スライド概要

XSSの初心者向け説明です。初心者向けだけど、きっちり理解したい方向け…

profile-image

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://j.mp/web-sec-study

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

クロスサイトスクリプティング再入門 HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem

2.

XSS脆弱なスクリプトの例 <body><?php echo $_GET['p']; ?></body> 値を「そのまま」表示 p=<script>alert(document.cookie)</script> で参照 Copyright © 2013 HASH Consulting Corp. 2

3.

なにか、問題でも? Copyright © 2013 HASH Consulting Corp. 3

4.

典型的なXSSサンプルに対する「素朴な疑問」 • クッキーの値がアラートで表示されても、特に危険性はないよ うな気がする • クッキーの値はブラウザのアドオンなどでも表示できるよね • 任意のJavaScriptが実行されると言っても、ホームページ作 れば任意のJavaScriptが書けるし、見た人のブラウザで実行 されるよね… Copyright © 2013 HASH Consulting Corp. 4

5.

そもそもの疑問:JavaScriptは危険か? • 実は、JavaScriptの実行自体は危険ではない • Webは、未知の(ひょっとすると悪意のある?)サイトを訪問し ても「悪いこと」が起きないように設計されている • JavaScriptの「サンドボックス」による保護 – JavaScriptからローカルファイルにアクセスできない – JavaScriptからクリップボードの値にアクセスできない – ブラウザにはファイルアップロードの機能があるが、JavaScriptで 任意ファイルをアップロードはできない – JavaScriptからプリンタに印刷することはできない(印刷ダイアログ を表示することはできる) Copyright © 2013 HASH Consulting Corp. 5

6.

では、他のWebサイト上の「個人情報」 にはアクセスできないの? Copyright © 2013 HASH Consulting Corp. 6

7.

できない Copyright © 2013 HASH Consulting Corp. 7

8.

ここで、 「タブブラウザは安全なのか」問題 Copyright © 2013 HASH Consulting Corp. 8

9.

タブブラウザに秘密情報のある光景 ワナのサイト うっかり、罠の仕掛 けてあるページを開 いたら、Gmailの内 容を読み取られな いのか? Copyright © 2013 HASH Consulting Corp. 9

10.

試してみよう! Copyright © 2013 HASH Consulting Corp. 10

11.
[beta]
Gmailを別タブに開いてHTMLを読み出す罠
新しいWindowを開
いて、そこにGmail
を表示させる

<html>
<head>
<script>
var newWin = window.open(
'https://mail.google.com/mail/u/0/#inbox', 'subwin');
setTimeout(function() {
alert(newWin.document.documentElement.innerHTML);
}, 3000);
</script>
</head>
<body>
Gmailのロードを待っ
こんにちは
て(3秒想定)、Gmail
</body>
のHTMLを表示
</html>

Copyright © 2013 HASH Consulting Corp.

11

12.

別Windowのdocumentにアクセスできない… Error: Permission denied to access property 'document' Copyright © 2013 HASH Consulting Corp. 12

13.

同じドメインだとdocumentにアクセスできる Copyright © 2013 HASH Consulting Corp. 13

14.

同じドメイン? Copyright © 2013 HASH Consulting Corp. 14

15.

正確にはドメインではなく ”オリジン” Copyright © 2013 HASH Consulting Corp. 15

16.

同一生成元ポリシー(Same-Origin Policy; SOP)とは • オリジン = スキーム、ホスト、ポート番号の組み合わせ • これらがすべて同じ場合、同一生成元(Same Origin)であると いう – http と https は異なるスキーム すなわち別オリジンとなる • JavaScriptによるプロパティへのアクセス等は同一生成元に 対してのみ許可される • XMLHttpRequestによるオブジェクトアクセスは、同一生成元 の場合無条件に許可される – 異なる生成元に対するアクセスは、CORS(Cross-Origin Resource Sharing)により可能 Copyright © 2013 HASH Consulting Corp. 16

17.

SOPによる保護 邪悪なサイト evil.example.com 正規サイト shop.example.jp 個人情報 ワナ 個人情報 JavaScript XMLHttpRequest ワナ 個人情報 JavaScript Cookie 個人情報 Copyright © 2013 HASH Consulting Corp. 17

18.

XSSによるJavaScripの注入 邪悪なサイト evil.example.com 正規サイト(XSS脆弱) shop.example.jp ワナ 脆弱なページ JavaScript JavaScript ① ③ ワナ ② 脆弱なページ JavaScript JavaScript Copyright © 2013 HASH Consulting Corp. ④ 18

19.

XSSにより注入されたJSはSOPの保護を回避する 邪悪なサイト evil.example.com 正規サイト shop.example.jp ワナ 個人情報 個人情報 JavaScript XMLHttpRequest ワナ 同一オリジン なので、個人 情報等にア クセス可 JavaScript 個人情報 Cookie Copyright © 2013 HASH Consulting Corp. 19

20.

iframeを用いたワナのイメージ http://very.evil-site.biz/ マル秘激安お得情報!!! JavaScript ワナサイトと同一オリジン 個人情報なし 正規サイト 個人情報あり Copyright © 2013 HASH Consulting Corp. 20

21.

XSSによる個人情報アクセス http://very.evil-site.biz/ マル秘激安お得情報!!! JavaScript 注入 JavaScript 正規サイト 個人情報 Copyright © 2013 HASH Consulting Corp. 21

22.

なぜJavaScriptを注入されるか? Copyright © 2013 HASH Consulting Corp. 22

23.

要素内容の場合 <div>○○○○○○</div> 要素内容の終端マークは < < を用いて要素内容を終わらせスクリプトを注入! <div>○○○○○○<script>alert(1)</script></div> 対策は < を &lt; にエスケープする & → &amp; エスケープも必須 通常は、 < > & をエスケープしますね Copyright © 2013 HASH Consulting Corp. 23

24.

属性値の場合 <input value="○○○○○○"> 属性値の終端マークは " " を用いてスクリプトを注入! <input value="○○○○○○"><script>alert(1)</script>"> 対策は " を &quot; にエスケープする & → &amp; エスケープも必須 通常は、 < > & " をエスケープしますね Copyright © 2013 HASH Consulting Corp. 24

25.

JavaScriptの場合 init("○○○○○○"); 文字列リテラルの終端マークは " " を用いてスクリプトを注入! init("○○○○○○");alert(document.cookie);//"); 対策は " を ¥" にエスケープする(&quot;ではない) ¥ → ¥¥ エスケープも必須 属性値に書く場合は上記をさらにHTMLエスケープする Copyright © 2013 HASH Consulting Corp. 25

26.

これで、おk? Copyright © 2013 HASH Consulting Corp. 26

27.

No! XSSは色々ややこしい Copyright © 2013 HASH Consulting Corp. 27

28.

参考文献(1) XSSの基礎を説明して いますが、DOM base XSSやAjaxに関する説 明はあまりありません Copyright © 2013 HASH Consulting Corp. 28

29.

参考文献(2) DOM base XSSに関 する体系的な説明とし て貴重な参考資料です http://www.ipa.go.jp/about/technicalwatch/20130129.html 29

30.

参考文献(3) ブラウザセキュリティの 「面倒くささ」について、 逃げずに丹念に説明し ています。上級者およ び上級者を目指す方向 け Copyright © 2013 HASH Consulting Corp. 30

31.

まとめ • ブラウザには、サンドボックス、同一生成元ポリシー(SOP)などの 保護機能がある • SOPの保護機能により、正規サイトと「怪しいサイト」はアクセスが 遮断されている • XSSは、SOPの保護機能の元で、正規サイトの情報に、「怪しいサ イト」からアクセスできる(これはアプリケーションの脆弱性) • XSSがあると、ワナサイトを閲覧した利用者の個人情報が漏洩 – あるいは「なりすまし犯行予告」の書き込みをさせることも… • XSS対策の基本は、「終端」となる記号の文脈に応じたエスケープ • でも、色々ややこしいので参考文献で勉強を • みなさん、よく言っておきますが、ウェブアプリの脆弱性の中で、 XSSが一番難しいですよ! Copyright © 2013 HASH Consulting Corp. 31