パソコンの使い方

Size: px

Start display at page:

Download "パソコンの使い方"

がんまはらしない
5 years ago
Views:

1 計算機と暗号 ( 第 4 回 ) 京都教育大学多田知正 htada@kyokyo-u.ac.jp 2018/5/11 1

2 はじめにこの講義の WWW ページ講義資料 (PDF) を置いておく予定です 2018/5/11 2

3 今日の内容クロスサイトスクリプティング 2018/5/11 3

4 危険な WWW ページ WWW ページにアクセスするだけでパソコンが起動しなくなるウィルスに感染する情報が漏洩する場合があるいったいどういう仕組みなのか? 2018/5/11 4

5 WWW ページの中身 HTML という形式で書かれている <html> <head> <title> 情報社会とセキュリティホームページ </title> </head> <body> <h1> このサイトについて </h1> 資料等を置いておきます. 連絡事項などを書く場合もあります. <h2> 担当教員 </h2> <P> 氏名 : 多田知正 <br> 居室 :B 棟 2F 266 or IPC3F 管理作業室 <br> 内線 :8332 or 8818<br> メールアドレス :htada</p> : 2018/5/11 5

6 プログラムの埋め込み HTML データの中にプログラムを埋め込むことができる <html> <head> <title> 情報社会とセキュリティホームページ </title> </head> <body> HTMLデータに埋め込まれたプログラムはスクリプトと言う <h1> このサイトについて </h1> 資料等を置いておきます. 連絡事項などを書く場合もあります. <script type="text/javascript"> 何かのプログラム </script> <h2> 担当教員 </h2> <P> 氏名 : 多田知正 <br> 居室 :B 棟 2F 266 or IPC3F 管理作業室 <br> : 2018/5/11 6

7 スクリプトとは人間に読める形式のままで実行されるプログラムコンピュータにわかる形式に翻訳する手間がかからない簡単に作成, 実行できる 2018/5/11 7

8 スクリプトを実行するにはスクリプトを読み込み, 解釈して実行する別のプログラム ( インタプリタ ) が必要普通のプログラムソースコードネイティブコード事前に変換スクリプトスクリプトインタプリタスクリプトを解釈しながら動作するプログラム 2018/5/11 8

9 インタプリタはどこにある WWW ブラウザにインタプリタが埋め込まれているインタプリタ 2018/5/11 9

10 スクリプトの実行スクリプトが埋め込まれた HTML データパソコン埋め込まれたスクリプトがブラウザで実行される 2018/5/11 10

11 悪意のある WWW サーバ悪意あるスクリプトが埋め込まれた HTML データ埋め込まれたスクリプトがブラウザで実行されるパソコンウィルス感染情報漏えいなど 2018/5/11 11

12 防衛策悪意のある WWW サーバ攻撃者自らが設置する場合既存のサーバを乗っ取る場合サーバの管理者サーバを乗っ取られないように注意するユーザ怪しい WWW サーバに行かないようにする怪しいメールのリンクをクリックしない怪しい WWW サイトのスクリプトの実行を禁止する 2018/5/11 12

13 スクリプトのセキュリティ近年対策がとられスクリプトの実行そのものはそれなりに安全になったスクリプトはそもそも信用できない元はと言えばネットからダウンロードして来たものスクリプトにできることを大幅に制限するパソコンに保存されたファイルを勝手にのぞき見たりできない 2018/5/11 13

14 新たな脅威スクリプトの実行が制限されているから安心? そうとも言えなくなっている 2018/5/11 14

15 クロスサイトスクリプティングクロスサイトスクリプティング (Cross Site Scripting) とは動的に Web ページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し狭義にはサイト間を横断して悪意のあるスクリプトを混入させることまたそれを許す脆弱性のこと (Wikipedia) こわいですねえ 2018/5/11 15

16 クロスサイトスクリプティングの原理クロスサイトスクリプティングの原理を WWW の掲示板を例に説明します 2018/5/11 16

17 WWW 掲示板いろいろなユーザが投稿した文章をまとめて表示する WWW サイト入力フォーム ( 投稿する文章を書くところ ) awareness/vendor/programming/ a01_02.html 2018/5/11 17

18 WWW 掲示板のしくみ投稿された文章の集合から HTML データを自動的に生成掲示板サーバユーザが投稿した文章 HTML データパソコン 2018/5/11 18

19 スクリプトを埋め込んだ記事もしも掲示板にこういう書き込みをしたら... こんにちは. <script type="text/javascript"> あやしいプログラム </script> 怪しい奴じゃないよ. 2018/5/11 19

20 掲示板サーバの動作こんにちは. 怪しい奴じゃないよ. <html> <head><title> タイトル </title></head> : スクリプトの埋め込まれた文章スクリプトの埋め込まれた HTML データ 2018/5/11 20

21 クロスサイトスクリプティングのしくみ掲示板サーバスクリプトが埋め込まれた HTML データを自動的に生成悪いユーザスクリプトを埋め込んだ記事を掲示板に投稿パソコン埋め込まれたスクリプトが実行される 2018/5/11 21

22 クロスサイトスクリプティングの特徴従来の WWW からの攻撃悪意のある WWW サイトにアクセスすることで攻撃される怪しいサイトのスクリプトは実行しないようにすれば防げるクロスサイトスクリプティングによる攻撃普段利用している WWW サイトから悪意のあるスクリプトがやってくるので防ぐのが難しい 2018/5/11 22

23 クロスサイトスクリプティングの怖さクロスサイトスクリプティングは普通の攻撃と比べて何が怖いのか? クロスサイトスクリプティングによって, クッキーが盗まれてしまう個人情報が漏洩する場合があるクッキーと個人情報にどういう関係が? 2018/5/11 23

24 認証型の WWW サイトユーザ名とパスワードを入力してログインして利用する WWW サイトが増えているそれぞれのユーザに合わせた情報を提供する WWW メールもその一種 2018/5/11 24

25 認証型サイトは意外と難しい認証型の WWW サイトを作るのは実は簡単ではないいったいどこが難しいのか? 2018/5/11 25

26 WWW のしくみ一回一回の通信が全て独立前に何を送ったか何を受け取ったか一切覚えていない WWW サーバ HTML リクエスト HTML データパソコンページの表示 2018/5/11 26

27 忘れっぽい人もしもし吉田と申します吉田さまですねそちらで本を買いたいのですが吉田ですけど本売ってよどちらさまですか? はいどうぞえーとワンピースの 55 巻と56 巻を... どちらさまですか? 2018/5/11 27

28 認証式の WWW サーバではデータの読み出しや書き換えのたびに相手が間違いなく本人であることを確認しなければならないお届け先の住所はですね吉田ですけど ( うそやけど ) 本買います住所 Get! 何も知らない吉田さん 2018/5/11 28

29 ということは認証式の WWW サーバ ID: yoshida pass: biscuit 何かするたびにいちいち ID とパスワードを入力しないと行けない面倒すぎるパソコン 2018/5/11 29

30 そこでクッキーを使いますもちろん食べ物ではありません 2018/5/11 30

31 クッキーとは RFC 2965 などで定義された HTTP における Web サーバとウェブブラウザ間で状態を管理するプロトコルまたそこで用いられる Web ブラウザに保存された情報のことを指すユーザ識別やセッション管理を実現する目的などに利用される便利ですねえ 2018/5/11 31

32 クッキーのしくみ認証式の WWW サーバ ID: yoshida pass: biscuit ログイン時に ID とパスワードを送るパソコン 2018/5/11 32

33 クッキーのしくみ ID: pass: 6&)Jg 暗号化された ID とパスワードをクッキーとして送信 2018/5/11 33

34 クッキーのしくみ ID: pass: 6&)Jg パソコンにクッキーとして保存しておく 2018/5/11 34

35 クッキーのしくみ ID: pass: 6&)Jg リクエストにクッキーを付けて送る 2018/5/11 35

36 クッキーのしくみ ID: pass: 6&)Jg クッキーによりログイン中のユーザからのリクエストであることがわかる 2018/5/11 36

37 クッキーのしくみユーザに合わせた HTML データを送信 2018/5/11 37

38 クッキーのしくみ ID: pass: 6&)Jg ログアウト要求を送る ID: pass: 6&)Jg 2018/5/11 38

39 クッキーのしくみ空のクッキーを送信 ID: pass: 6&)Jg 2018/5/11 39

40 クッキーのしくみクッキーは通常ログインしている間のみ保存される保存されたクッキーを空のクッキーで上書き 2018/5/11 40

41 クッキーの危険性クッキーを使うことで, いちいちパスワードを使わなくても認証型 WWW サイトが利用できる逆に言えば, クッキーを盗まれると, 他人になりすましを許す可能性があるパスワードを取られるのと同じこと 2018/5/11 41

42 クロスサイトスクリプティングクロスサイトスクリプティングは悪意のないサイトを経由してパソコンに悪意のあるスクリプトを実行させる行為悪いユーザ 2018/5/11 42

43 クッキーの盗難盗んだクッキーを使ってその人になりすますクロスサイトスクリプティングにより実行された悪意のあるスクリプトが保存されたクッキーを別の場所に送信してしまう個人情報の漏洩 ID: pass: 6&)Jg ID: pass: 6&)Jg 2018/5/11 43

44 スクリプトとクッキースクリプトにできることは制限されているんじゃなかったの? しかし, スクリプトはクッキーにはアクセスできるクッキーというしくみを利用するのにスクリプトを利用しているため 2018/5/11 44

45 クッキーのセキュリティクッキーは, そのクッキーを発行したサーバから送られたページに埋め込まれたスクリプトからしかアクセスできない ID: pass: 6&)Jg 例えばオンラインショッピングで用いられるクッキーはそのオンラインショッピングサイトのページに埋め込まれたスクリプトからしかアクセスできない 2018/5/11 45

46 ということは掲示板を利用したクロスサイトスクリプティングで盗みだせるのは, 掲示板のサーバが発行したクッキーのみ会員制の掲示板でなければそれほど怖くない 2018/5/11 46

47 ところがクロスサイトスクリプティングのターゲットは掲示板だけとは限らないごく普通の WWW サイトにも危険が潜んでいる 2018/5/11 47

48 エラーメッセージページの存在しない URL を入力するとエラーメッセージが出る URL として与えた文字列が WWW ページにそのまま埋め込まれている 2018/5/11 48

49 エラーメッセージの HTML データ <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>404 Not Found</TITLE> </HEAD><BODY> <H1>Not Found</H1> The requested URL /hoge was not found on this server.<p> <HR> <ADDRESS>Apache/ Server at Port 80</ADDRESS> </BODY></HTML> URL として与えた文字列が WWW ページにそのまま埋め込まれている 2018/5/11 49

50 ということはもしものような URL を書いたらどうなる? 2018/5/11 50

51 こうなる? <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>404 Not Found</TITLE> </HEAD><BODY> <H1>Not Found</H1> The requested URL <script> </script> was not found on this server.<p> <HR> <ADDRESS>Apache/ Server at Port 80</ADDRESS> </BODY></HTML> スクリプトが WWW ページに埋め込まれるクロスサイトスクリプティングの危険 2018/5/11 51

52 実際にはこうなる <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>404 Not Found</TITLE> </HEAD><BODY> <H1>Not Found</H1> The requested URL /<script> </script> was not found on this server.<p> <HR> <ADDRESS>Apache/ Server at Port 80</ADDRESS> </BODY></HTML> < は < に > は > にそれぞれ置き換えられている 2018/5/11 52

53 < と > HTML では,<> はタグの開始と終了を表すために使う特殊な記号ブラウザは < が出てきたらタグ始まったなと思い > が出てきたらタグ終わったなと思う <> 自体を表示することはない <> そのものを表示させたいときには < と > を使って書く通常はエラーメッセージを出力するときにきちんと置き換えが行われるので心配はない 2018/5/11 53

54 古い WWW サーバではそこまで気が回ってなかった入力された文字列を <> も含めてそのままエラーページに埋め込んでいたクロスサイトスクリプティングの恐れがあるバージョンの古い WWW サーバは危険 Apache 以前などサーバプログラムはまめにバージョンアップをしないと危険です 2018/5/11 54

55 入力を受け付ける WWW サーバエラーメッセージの修正された WWW サーバと言っても安心はできないユーザからの入力を受け付ける WWW サーバにはクロスサイトスクリプティングの危険性があるオンラインショッピングのサイト配達先住所などを入力する 2018/5/11 55

56 オンライン辞書の例例として Yahoo! 辞書を考えてみます Yahoo! 辞書にクロスサイトスクリプティングの危険性があるというわけではありませんので安心してください 2018/5/11 56

57 Yahoo! 辞書の WWW ページユーザが検索する単語を入力する 2018/5/11 57

58 クロスサイトスクリプティングの危険性ユーザが入力した文字列がページに埋め込まれている 2018/5/11 58

59 ちょっと待った辞書の検索語はユーザが自分で入力するもの自分でわざわざスクリプト入りの検索語を書く人なんているはずがない心配ない心配ないはたしてそうか? 2018/5/11 59

60 奇妙な URL? やら & やらの記号が書かれているよく見ると検索語 (hoge) も含まれているこの URL はいったい何? 2018/5/11 60

61 奇妙な URL の意味この URL はサーバ dic.search.yahoo.co.jp にアクセスしそこで,search という名前のプログラムをパラメータを ei=utf-8, p=hoge,stype=prefix, fr=dic とそれぞれ設定して実行せよと言う意味です表示されているページはこのプログラム (search) が生成したもの 2018/5/11 61

62 実はこの URL を直接ブラウザのアドレスに入力すると検索語を自分で入力しなくても検索結果が出てきます 2018/5/11 62

63 ということはもしも search というプログラムがクロスサイトスクリプティング対策をしていないとのような URL をブラウザのアドレス欄に入力することで, 怪しいスクリプトが実行されてしまう恐れがあるということです 2018/5/11 63

64 念のため繰り返しますが Yahoo! 辞書はとっくにクロスサイトスクリプティングの対策がなされているのでこのような事態にはなりませんあしからず 2018/5/11 64

65 ちょっと待ったブラウザのアドレス欄の URL はユーザが自分で入力するもの自分でわざわざスクリプト入りの URL を書く人なんているはずない大丈夫大丈夫いやいや /5/11 65

66 リンクを忘れちゃいけないリンクには URL(WWW ページのアドレス ) が登録されているリンクをクリックすると登録された URL にアクセスする検索サイトといえば google ですリンクをクリックするとにジャンプする 2018/5/11 66

リンクのわなもしもおすすめサイト http://dic.search.yahoo.co.jp/search?p=<script>.

67 リンクのわなもしもおすすめサイトにジャンプするように設定されてたら... あやしいリンクは踏まないように十分気を付けましょう 2018/5/11 67

68 5 ちゃんねるのあのページ 5 ちゃんねらーにはおなじみのこのページは, いったい何のためにあるのか? 2018/5/11 68

69 あのページの存在理由わなのリンクを間違ってクリックしないために存在する実際にジャンプする前に今からジャンプしようとしている URL を表示してユーザに確認を取っている元の記事に関係なく, 表示された URL が怪しければ, 決してリンクをクリックしないこと 2018/5/11 69

70 今だに報告されるクロスサイトスクリプティングで最近報告されたセキュリティホール IBM Cognos Analytics CVE Cross Site Scripting Vulnerability PHP CVE Incomplete Fix Cross Site Scripting Vulnerability PHP CVE Cross Site Scripting Vulnerability IBM API Connect CVE Cross Site Scripting Vulnerability IBM Jazz Reporting Service CVE Cross Site Scripting Vulnerability IBM Jazz Reporting Service CVE Cross Site Scripting Vulnerability IBM Jazz Reporting Service CVE Cross Site Scripting Vulnerability Atlassian FishEye and Crucible CVE Cross Site Scripting Vulnerability 2018/5/11 70

71 余談 : 辞書で日本語を入れるとちなみに, さっきの辞書サイトで日本語を入れると =%E3%81%BB%E3%81%92&stype=p refix&aq=-1&oq=&ei=utf-8 この % の嵐は何? 2018/5/11 71

72 URL エンコード URL の中に日本語などを入れるときに使う形式文字コードを表す数字の前に % を付ける同じ日本語でも文字コードによって異なる Shift-JIS コード EUC コード UTF /5/11 72

73 まとめ WWW の危険性危険な WWW ページ悪意のあるスクリプトが埋め込まれている WWW ページを見るだけで被害にあうクロスサイトスクリプティング悪意のないサーバからスクリプトがやってくる怪しいサイトのスクリプトは実行しないだけでは防げない 2018/5/11 73

SQL インジェクションの脆弱性

別紙脆弱性体験学習ツール AppGoat ハンズオンセミナー演習解説 SQL インジェクションの脆弱性 [ 演習 ] AppGoat を用いた疑似攻撃体験 SQL インジェクションのテーマ不正なログイン ( 文字列リテラル ) 画面上に Congratulations!! と表示されると演習クリアです 3 脆弱性のある箇所を特定するログイン ID またはパスワードにシングルクォート ' を入力し