Hatena::ブログ(Diary)

葉っぱ日記 このページをアンテナに追加

2014-09-12

[][] ブラウザ内で安全に文字列からDOMを組み立てるためのRickDOMというライブラリを書いた  ブラウザ内で安全に文字列からDOMを組み立てるためのRickDOMというライブラリを書いたを含むブックマーク

RickDOM - ricking DOM elements safety from string
https://github.com/hasegawayosuke/rickdom

ブラウザ内のDOMParserあるいはcreatHTMLDocument APIを使って不活性なDOMを組み立てたのちに、必要な要素と属性、スタイルだけを切り出して複製しているので、原理的にDOM based XSSの発生を抑えることができます。

使いかたも簡単。

var rickdom = new RickDOM();
var container = document.getElementById( "container" );
var elements;
var i;

// read allowings property to show default rule 
// div.textContent = JSON.stringify( rickdom.allowings, undefined, 2 );

// write allowings property if you want to customize rule.
// rickdom.allowings = { a : { href : { pattern : "^https?:\\/\\/", flag : "i" }, title : "" } };

// build method returns array of HTMLElement.
elements = rickdom.build( '<img src=# onerror=alert(1)><a href="http://example.jp/">example.jp</a><br><a href="javascript:alert(1)">javascript</a>' );
for( i = 0; i < elements.length; i++ ){ 
    container.appendChild( elements[ i ] );
}

実際に動いているデモ画面はこちら。

詳しい話はこのあたりを参照。

2014-08-11

[] LINE株式会社 に行ってきた!  LINE株式会社 に行ってきた!を含むブックマーク

台風一過!はせがわです。

というわけで、Shibuya.XSSの会場を快く貸してくださったLINE株式会社さんに行ってきた!

サイボウズのバグハンター合宿で疲れた体を引きずりながら大勢で魔宮である渋谷駅を抜けヒカリエへ。

出迎えてくれたのはおなじみのコニー、ブラウン、ムーンをはじめとする愛らしいキャラクターの面々。

f:id:hasegawayosuke:20140807183149j:image:w360

ジェームズとジェシカもお出迎え。

f:id:hasegawayosuke:20140807183204j:image:w360

見晴しのいい窓際にも。

f:id:hasegawayosuke:20140807183232j:image:w360

遠くには夕焼けの富士山も見える!

f:id:hasegawayosuke:20140807184153j:image:w360

大量のレッドブルを前にご満悦の941さん。

f:id:hasegawayosuke:20140807191000j:image:w360

というわけで、夜遅くのグデグデな勉強会なのに快く会場をお貸しくださったLINE様、941さん、ありがとうございました!
雑なパクリ風味記事ですみません><

----

ちなみに、Shibuya.XSS テクニカルトーク #5の内容や資料については、いつもどおり azu さんによる記事:Shibuya.XSS テクニカルトーク #5 アウトラインメモ | Web Scratchにまとまっています。

それはそれとして、Shibuya.XSS テクニカルトーク #5ですが、会場への入場を開始時刻の19時30分で打ち切ったために申し込んでいたのに入場できなかったという人が発生してしまいました。事前にきちんと連絡できていればよかったのですが、こちらの不手際でせっかくの参加の機会を不意にしてしまい申し訳ない限りです。すみません。次回からはきちんと事前に入場可能な時刻を明示できるようにしておきます。

そして、Shibuya.XSSに限らないのですが、都内で100人規模の勉強会を開催するときに申し込みを開始したとたんに1-2時間程度で全席が埋まってしまうということも珍しくなくなっていて、たまたま申込み開始のタイミングでネットに触れることができた人による早い者勝ちな状況は、果たして正しい状態なのだろうかという思いもあります。もちろん主催する側としては高倍率で参加枠が瞬殺というのは嬉しくはあるのですが、その嬉しさは単純で原始的なものでしかなく、たまたまタイミングよくTwitterを見ていたから参加できたという人がいる裏側に、本当に参加したい・主催側からも参加してくれればというような人が参加できていないというのは決して望ましい状況ではないかと思うわけです。

今回のShibuya.XSSでも80名の参加枠に対して参加希望者が倍の160名ということもあり、「この人がトークを聞いてくれれば様々な形でもっとフィードバックをくれるのに」というような方が多数漏れてしまっており、そういった方々のうちの何名かには当日スタッフとしてお手伝いという形で参加して頂きました。そんなわけで、次回(いつになるのかまったくわからないけれど)Shibuya.XSSを開催する場合には、もしかすると席数の半分くらいは「参加してくれたら面白そう」と開催側やスピーカーが思える人のために事前に確保、みたいなかたちになるかも知れません。そうでないとスピーカーは話してても面白くないもんね!

2014-07-15

[] セキュリティ・キャンプ2014 ネットワークセキュリティクラスの応募用紙  セキュリティ・キャンプ2014 ネットワークセキュリティクラスの応募用紙を含むブックマーク

今さらながら。メモ帳で開くとHTTPを含むpcapぽいとわかるので、あとはFiddlerで一発。

f:id:hasegawayosuke:20140715091754p:image

2014-05-08

[] mXSS - Mutation-based Cross-Site-Scripting のはなし  mXSS - Mutation-based Cross-Site-Scripting のはなしを含むブックマーク

ここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-based XSS とは、例えば innerHTML などを経由してすでに構築されているDOMツリーを参照したときに、本来のDOM構造とは異なる結果を得てしまい、そのためにHTML構造の破壊を引き起こすという類のDOM based XSSの亜種とも言えます。

mXSSに関しては以下の資料などが参考になります。

どちらの資料にも掲載されていますが、mXSSのきっかけとなったのは 「教科書に載らないWebアプリケーションセキュリティ(1):[これはひどい]IEの引用符の解釈 (1/3) - @IT」にも記載した、Internet Explorer におけるバッククォートの解釈の問題で、典型的にはIE8以下のようなコードで問題が発生します。

<div id="div1">
  <input type="text" value="``onmouseover=alert(1)"> …攻撃者がvalue属性を自由に設定可能
</div>
<div id="div2"></div>
<script>
    document.getElementById("div2").innerHTML = document.getElementById("div1").innerHTML;
</script>

このように、innnerHTMLなどを通じてHTMLを取得した場合に、本来のDOM構造とは異なる構造を表すHTML文字列が取得できてしまうという点がmXSSの肝となります。もしかすると「文字列」だけに限らない可能性はありますが、いずれにしろ本来のDOM構造とは異なるDOM構造の再構築によるXSSというのが重要な点です。

また、mXSSという脆弱性の原理そのものはIEに限定されないという点にも注意が必要です。

さらに、Gareth Heyes氏による Shazzerを使っての 様々なmXSSの攻撃ベクターを紹介する記事も参考になりますので、mXSSに興味のある方は参照しておきましょう。

HTML5によるJavaScriptコード量の増加に伴い、DOM based XSSも増加し、さらにこういった特殊なXSSが増えるのは、攻撃者視点としては非常に面白いですね! Enjoy!

2014-05-01

[] IEを使わずにリモートのファイルをダウンロードする方法  IEを使わずにリモートのファイルをダウンロードする方法を含むブックマーク

  1. Windows+Rを押し「ファイル名を指定して実行」のダイアログを表示する。
  2. 「参照」を押し、ファイルオープンのコモンダイアログを表示させる。
  3. 「ファイル名」の欄にダウンロード対象のURLを張り付けて「開く」を押す
  4. 「ファイル名を指定して実行」のダイアログに戻ってくるが、このときすでにダウンロードが完了し、ダウンロード済みのファイルが「名前」欄に入力されているので、これをコマンドライン等任意のツールで扱う。

以上。

「ファイル名を指定して実行」の名前欄に直接URLを張り付けると、httpプロトコルスキームに関連付けられた既定のブラウザによってそのコンテンツが開かれてしまうが、コモンダイアログをいったん経由させればブラウザは経由しない。ただし、ダウンロードのためにWinHTTP or WinINetは使用される(あってる?)。

TakamiChieTakamiChie 2014/05/01 09:37 ファイルを開くダイアログでURLを入れると、ファイルがIEキャッシュフォルダに保存される挙動からして、恐らくIEのエンジンを何らかの形で使用しているのかな と。
ただ、今回の脆弱性対策としては十分な気がします。

hebikuzurehebikuzure 2014/05/08 23:01 WinInet 経由でダウンロードされてるはずなので、 IE と同じキャッシュ フォルダに一時的にダウンロードされるのは問題のない挙動ですね。今回の IE の脆弱性はレンダリング段階での話なので、WinInet を使うだけなら問題ないです。