XSS

ENECHANGE で CTO をしている田中です。 今回は先日社内で開催した情報セキュリティ講習会について紹介したいと思います。講師として株式会社セキュリティイニシアティブジャパンの小笠さんを迎え、XSS（クロスサイトスクリプティング）について実際の挙動を見ながらお話しいただきました。

はじめに こんにちは！CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています！*2 blog.flatt.tech たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発…

前回、登録ページと一覧ページのHTMLに共通する箇所を共通化させました。 その際、HTMLをベタ打ちで書いていた箇所をPHPでデータベースからデータを取得し、一覧表示できるようにしました。 テーブルにデータがない状態を再現する方法とXSS（クロスサイトスクリプティング）対策についても学びました。 ↓作成したページ 1. データベースからデータを取得 2. HTMLでデータを表示 3. データがない場合 4. XSS対策 XSSとは XSS対策の方法 書いたコード index.php views/index.php lib/escape.php 参考URL nl2brを使った自動での<br />…

はじめに セキュリティ・キャンプ2021のグループワークの活動で、リレー形式でブログを執筆していくことになりました。 前回のブログはこちらです。 今回のテーマはWebセキュリティ！ といっても私はWebに強くありません。書けることなんて限られています。なのでXSS、CSRF、SSRF辺りをCVEと共に見ていけたらなと思います。基礎的な攻撃手法なので知っている方も多いと思いますが、最近のCVEを選択したので少しは新たな学びがあるといいなと。 変なところがあったら言ってください。 XSS XSS（クロスサイトスクリプティング）は動的に生成されるWebページにおいて、悪意のあるスクリプトが入り込んで…

少し前に公開されたものだが、PortswiggerのDaily swig経由で見つけた、MSの小勝さんが報告したChromeのCSP bypassバグについて。やられる側は例えば下記のようなページ。nonceのCSPを使っている。 <meta http-equiv="content-security-policy" content="script-src 'nonce-testrandom'"> <body> <?= $_GET['param'] ?> ← エスケープ無し </body> 攻撃者は以下のようにiframeを挿入してやる（ここでは簡単のためsrcdocを使っている）。 <meta…

テキストボックスなどにHTMLタグを埋め込むことで悪意のあるスクリプトを実行させる攻撃です。 この攻撃によって訪問者の個人情報を盗むなどの被害をもたらすことになります。 対処法 入力値の制限 例えば、入力できる文字数の制限したり入力できる文字を制限などがあります（数字のみ入力可等）。 エスケープ処理の実装 HTMLとして意味がある文字をエスケープし別の文字に置き換えることが対処法となります。 例えば、<という文字を<にすることがエスケープ処理です。 WAF導入 SQLインジェクションと一緒ですね。 セキュリティ対策として導入は最善です。 まとめ 対処法をまとめて見てわかると思いますがSQLイン…

VAddyはクラウド型の脆弱性診断ツールです。 これまでVAddyのXSS検査では<script>タグを用いた検査ロジックを使用していました。しかし、例えば<script>タグに関しては無効化するような処理が行われているものの、それ以外の任意のhtmlタグは挿入できる、などの状態は必ずしも安全であるとは言えません。そこで、外部入力されたhtmlタグが正しく無効化されているかを判定するために<vaddy a=xxxx>のような独自タグの検査パターンを追加しました。 今回の検査パターンの追加でXSS検査で送るHTTPリクエスト数が増加するため、検査時間に影響が出ることが考えられますが、お客様の業務…

Hello there, ('ω')ノ 主要なテレコムのWebサイトでユーザーアカウントを乗っ取ることができた方法を。 脆弱性： XSS 記事： https://medium.com/@tobydavenn/how-i-was-able-to-takeover-any-users-account-on-a-major-telecoms-website-2cd5aa43e3d6 今回は、アフリカの主要な通信プロバイダのWebサイトで見つけた。 同じ脆弱性の複数のインスタンスに関するもので。 このドメインを探しているときに、テレコムプロバイダの顧客が。 顧客として獲得したバウチャー/ポイント、およ…

Sinatraのメモアプリの終了条件であるXSS対策について調べました。 結論 文字コード指定とエスケープ(サニタイジング)を行うとXSS対策できる XSSとは 悪意あるクライアントサイドのコードをウェブサイトに挿入するセキュリティ攻撃です。 引用: Cross-site scripting (クロスサイトスクリプティング) - MDN Web Docs 用語集: ウェブ関連用語の定義 | MDN クロスサイトスプリプティング(Cross-site scripting) Cookieやセッショントークンの不正取得、HTMLコンテンツの書き換えなどが行われてしまう XSSの簡単な例 入力フォーム…

はじめに アプリやゲームにおいて、「自由入力」のテキストボックスやそれを表示するラベル (ユーザ名・コメント欄・etc.) などを安易に設置すると、想定の斜め上を行く妙な文字(列)を入力され、意図しない表示・処理になることが多々あります。 本稿では、そのテストに使えるような文字(列)を記載していきます。なるべくコードポイント (U+xxxx) も併記するようにしました。 想定環境は主に PC ・スマートフォンで動作するクライアント (もっと具体的には Unity の TextMeshPro InputField) です。 Web やデータベース周りでは、例えば古典的な XSS や 寿司ビール問…

はじめに エキサイトでエンジニアをしているたからだ（amochan0313）です。 このたび、2022年度新卒技術研修を実施しました。 今回は、研修内容や工夫したポイントをお伝えするとともに、実際に使用した講義資料を一部公開します。 新卒技術研修の概要 新卒技術研修の詳細を話す前にまずは概要の説明です。 新卒エンジニアの人数 3人 研修期間 4/18 ~ 5/31 コンテンツ 社員による講義 システム開発 場所 オンライン 講義は Zoom で実施 システム開発時のコミュニケーションでは主に Discord を利用 研修の目標 エキサイトは多くのサービスを提供しており、その分チームも多く存在し…

こんにちは。谷口です。インターネットの普及以来、Webサービスにはセキュリティの問題が常につきまとっています。個人情報漏洩や、仮想通貨の被害のニュースなどを見たことがある人も多いでしょう。プログラミングを勉強している方や、エンジニアを目指している方は、具体的にどのようなセキュリティ問題があるか知っていますか？今回は、初心者がWebセキュリティについて学べる書籍やサイトをご紹介します。 書籍 おうちで学べるセキュリティのきほん おうちで学べるセキュリティのきほん作者:増井 敏克翔泳社Amazon「セキュリティって一体何？どうして必要なの？」という初心者が、Webセキュリティについて概要を把握する…

今回は、短文投稿です。 内容はタイトル通りの話です。 つまりSIEとMSという二大CSプラットフォーマー戦争についてとなりますが、個人的な見解で言いますと「ついに転換期が訪れた」と思っています。 今月に入ってからSIEはState of playを開催し、MSは独自ショウケースをそれぞれ実行しましたが、両者それぞれで大きな変化を感じました。 まず、SIEに関してですがPS5主体の発表からPCへの展開を積極的に見せるようになりました。スパイダーマンPC版です。 doope.jp SIEタイトルのPC版発売はこれまでいろいろと報じられてきましたが、ここ最近はそのペースが早くなっていると感じます。P…

Dino Run 恐竜で遊ぶゲームが起動する。 フラグが右下にあるようなので移動しよう。 盤面がそれほど大きくないこともあり、フラグマスに到達でき、表示されたフラグが答え Grafana Grafana v8.3.0 (914fcedb72)が使用されている 調べるとLFI脆弱性がある https://www.exploit-db.com/exploits/50581 PoCはそのまま動かさず、PoCを見ながら手動でポチポチしていたら以下でフラグが手に入った。 GET /public/plugins/state-timeline/../../../../../../../../tmp/flag…

Hello there, ('ω')ノ [ディレクトリトラバーサル攻撃]GitHubを使用してどのように見つけたかを。 脆弱性： 情報開示 パストラバーサル 記事： https://medium.com/@Nightmare1337/how-did-i-find-directory-traversal-attack-using-github-9b051ed749ca 今回は、サーバ上の任意のファイルを読み取ることを可能にする。 ディレクトリトラバーサル攻撃で。 プログラムポリシーとプライバシーのためにredacted.comと呼ぶことに。 最初にしたことは、Burp Proxyを起動し。 re…

本書『IT管理者のための情報セキュリティガイド』は、主に中小企業のIT担当者が、ITセキュリティについて最低限意識すべきポイントを網羅した良書。IT担当者のみならず、すべての従業員が一度学ぶべき内容でもある。 本書がとりあげている一般的項目は18個。そのほかにリスク分析方法、会社組織とマネジメント、脅威情報収集などについてもふれている。以下、それぞれでとりあげられるキーワードをメモ代わりに。 ID管理と認証…IDとその管理、認証 (*1) 、多要素認証と段階的認証、シングル・サインオン (*2) とフェデレーション (*3) 。 権限の管理…役割と権限の整理、ロール（役割）モデルの構築、アクセ…

Hello there, ('ω')ノ jQuery-selectorへの注入がもたらす可能性のあるものを。 脆弱性： CSRF 記事： https://systemweakness.com/what-an-injection-into-jquery-selector-can-lead-to-1fcaabfd51e5 どういうわけか、ユーザ調査のようなページに出くわして。 調査の所有者は、（事前に準備されたリストから）調査に含める質問を選択して。 保存すると、フォームでサーバに移動します {“chosen_questions”: [“country”, “gender”, “favorite_…

中国に「高級ブドウ」流出で損失は100億円 種苗法改正にズレた反論をしていた柴咲コウ（デイリー新潮） - Yahoo!ニュース コメント数467自分のコメント コメントを書くおすすめ順新着順go_***** | 11時間前非表示・報告 改正種苗法も普通の農家にとって何の支障もなく登録された品種については国外に無断で流出させてはいけないし、利用するなら金を払ってくださいねという当たり前の事をしただけなのですよね。 ほとんどの品種が従来のまま利用できますし、残りの品種は時間とお金を掛けて改良などした品種で、それを栽培する農家はそもそもきちんと権利を支払って栽培してますから何の問題も無い。 それすら…