従来型 Web Ajax ー Webサーー Webサー M M に M ージを M M クイント JavaScript をイン M をーにータ力 Submit タンを Submit のージる XX X 力ータ M ータのによにる M をにのプリに対キーースによ

Size: px

Start display at page:

Download "従来型 Web Ajax ー Webサーー Webサー M M に M ージを M M クイント JavaScript をイン M をーにータ力 Submit タンを Submit のージる XX X 力ータ M ータのによにる M をにのプリに対キーースによ"

あきひろいしなみ
5 years ago
Views:

0 におけるセキュリティ問題とは Ajax 1 Mashup Web 2.0 Web Web 2.0 Ajax Web Web 2.0 SNS JavaScript Cross-Site Scripting, XSS SNS 1 Garrett, J. J. : Ajax : A New Approach to Web Applications (Feb.

1 解説 Web 2.0 Web 2.0 というトレンドの中で,Ajax や Mashup などの技術やユーザ生成コンテンツの増加により, 新しい攻撃手法が日々登場する状況となっている. 特に Web アプリケーション層の脆弱性は深刻で,90% の Web サイトは何らかのアプリケーションレベルの脆弱性を持っているといわれている. 本稿では Web 2.0 の技術的特徴と, それを利用した攻撃手法, 代表的な対策手法と今後の展望について解説する. Web2.0 におけるセキュリティ問題とは Ajax 1 Mashup Web 2.0 Web Web 2.0 Ajax Web Web 2.0 SNS JavaScript Cross-Site Scripting, XSS SNS 1 Garrett, J. J. : Ajax : A New Approach to Web Applications (Feb. 18, 2005), archives/ php Same-Origin Policy Web Web 2.0 Web 2.0 Web 2.0 Web 2.0 の技術的特徴 Web 2.0 Web 1 Ajax Ajax Asynchronous JavaScript XML Web JavaScript 図 -1 Web Ajax Web URL HTML HTML 44

2 従来型 Web Ajax ー Webサーー Webサー M M に M ージを M M クイント JavaScript をイン M をーにータ力 Submit タンを Submit のージる XX X 力ータ M ータのによにる M をにのプリに対キーースによをのージる JavaScriptによるクイント Web プリー力を処力理にータを DOM APIによ M をーににをるータータのを処理のをのージる図 -1 従来型 Web と Ajax の比較 Submit HTML Web Ajax HTML XMLHttpRequest API XML JSON Web Web HTML DOM Document Object Model API JavaScript DOM DOM JavaScript Web Web. Web Web Web 2.0 における攻撃の特徴 Web 1.0 Web Ajax Web 2.0 Web 1.0 Web 2.0 Web 1.0 HTML JavaScript Web 2.0 JavaScript Web 1.0 HTTP HTML Web 2.0 Web 1.0 Web 45

3 Web 2.0 XSS Web 1.0 XSS cookie Web 2.0 DOM Web 1.0 Web 2.0 CSRF Web CSRF Local Network Web Web Web 2.0 Web 2.0 の代表的攻撃手法 Web 2.0 JavaScript クロスサイトスクリプティング (XSS) XSS Web 1.0 Web 70 2 XSS JavaScript 2 WhiteHat Website Security Statistics Report, March 2008, Jeremiah Grossman, WhiteHat Security. Web 2.0 SNS XSS Ajax XSS XSS DB XSS Web XSS 2 Ajax DOM-based XSS XSS 3 DOM-based XSS Ajax JavaScript DOM 図 -2 DOM-based XSS URL URL DOM-based XSS JavaScript 図 -3 HTML -3 JavaScript document.url URL "name=" Web # DOM # XSS Web DOM-based XSS URL URL Web Web Application Firewall WAF 3 Klein, A. : DOM Based Cross Site Scripting or XSS of the Third Kind - A Look at an Overlooked Flavor of XSS, Web Application Security Consortium Article (July 4, 2005), projects/articles/ shtml 46

4 1. を持つスクリプトを R スールーにる http oo.com bar name john script alert xss script 2. ー R をにーる 3. P bar name john oo.com Web 4. DOM-based XSS 脆弱性を持つ JavaScript をンンンーる Welcome john 5. document. R に 1 の R る 6. 脆弱性を持つ JavaScript R のスクリプトをの DOM にとによスクリプトるの DOM script alert xss script 図 -2 DOM-Based XSS Web cookie JavaScript URL SSL XSS URL URL TinyURL.com URL URL URL URL スタイルシートと Cross-Site Image Overlay Cascading Style Sheet CSS HTML CSS HTML HTML <style> HTML style Ajax JavaScript CSS CSS URL XSS CSS background URL URL javascript: URL expression JavaScript JavaScript Cross-Site Image Overlay XSIO 4 4 <html><body> <script> var pos= window.location.indexof('name=')+5; var s = window.location.substring(pos, window.location.length) document.write('welcome' + s); </script> </body></html> 図 -3 DOM-Based XSS 脆弱性を持つスクリプト Vetsch, S. : XSIO - Cross Site Image Overlaying (Aug. 7, 2007),

5 XSIO クロスサイトリクエストフォージェリ (CSRF) Cross-Site Request Forgery, CSRF Web Web HTTP HTTP Web JavaScript HTTP CSRF 2005 Social Networking Site 5 CSRF HTTP XSS CSRF Web CSRF Web 5!! Ascii.jp, elem/000/000/063/63560/ : // JSON 例 01: var jsonstr = [ {'name': 'Sachiko Yoshihama', 'destination': 'Barcelona', 'date': 'Aug 25, 2008' }, {'name': 'Ai Ishida', 'destination': 'New York', 'date': 'October ' }] ; : // スクリプトのる JSON 例 02: var malstr = [ {'name': 'Naohiko Uramoto', 'destination': 'Okinawa', 'date': 'December 7, 2008' }]; alert('xss'); ; : // JSON をると JavaScript ジクトにる 03: var obj1 = eval(jsonstr); : // Sachiko Yoshihama 出力る 04: document.write(obj[0].name); : // malstr を eval るとスクリプト 05: var obj2 = eval(malstr); JSON と JavaScript ハイジャッキング Ajax JSON JavaScript Object Notation JSON JSON JavaScript Web JavaScript eval JSON JSON 図 -4 JSON eval RFC4627 JSON eval JavaScript CSRF 5 6 JSON 図 -5 JavaScript setter <script> src JSON URL HTTP URL 6 図 -4 JSON の例 Chess, B., O'Neil, Y. T. and West, J. : JavaScript Hijacking, Fortify Software (2007). 48

6 攻撃対 Web サー攻撃の Web サー 3. トークンにる 1. ー 2. トークン Coo ie 4. Coo ie のにー攻撃の Web サーをると攻撃ーを M をンー 6. JavaScript によジクトのンストクタを 7. script をに DOM に 8. JSON coo ie 10. JSON ータ 11. ンー JSON JavaScript とジクトにる 12. ンストクタ出ータを img をに DOM にる 9. ーによるリクストとる 13. Img の R をータを攻撃にる図 -5 JavaScript ハイジャッキングの攻撃例 CSRF URL JSON <script> JavaScript setter JSON ローカルネットワークに対する攻撃 JavaScript JavaScript HTML JavaScript Web Web JavaScript によるポートスキャン IP JavaScript HTML Web JavaScript <img> src URL IP URL HTTP onload URL Web Cross-Site Printing HTML JavaScript Submit Cross-Site 49

7 (a) : Flash の ActionScript geturl(par1); // par1 の URL (b) : HTML へのの Flash め <embed src='test.swf?par1= ' > (c) : HTML JavaScript をした攻撃 <embed src="test.swf?par1=javascript:alert( mal );" > <embed src= test.swf FlashVars= par1=javascript:alert( mal ) > <object...> <param name= movie value= test.swf > <param name= flashvars value= par1=javascript:alert( mal ) > Printing 7 Drive-by Pharming Pharming phishing farming DNS URL Driveby Pharming 5 8 JavaScript HTTP DNS Pharming CSRF プラグインを悪用した攻撃 Web2.0 Web Adobe Flash Flash 1 98 Flash 7 8 図 -6 Flash XSS 攻撃例 Weaver, A. : Cross Site Printing (2007). googlepages.com/crosssiteprinting.pdf Stamm, S., Ramzan, Z. and Jackobsson, M. : Drive-by Pharming, Indiana University Technical Report TR641 (Dec. 2006). Flash Player Flash ActionScript ECMAScript Flash Flash Flash Flash Flash URL 図 -6 Flash ActionScript URL Flash ActionScript geturl URL URL javascript: URL Flash ActionScript JavaScript Flash HTML JavaScript HTTP Flash SWF HTML Script Flash Flash Player Flash Player Player Web Web HTML JavaScript Flash HTML JavaScript Flash マッシュアップにおけるセキュリティ問題 Web

8 Situational application Web XSS Web Same-Origin Policy Same-Origin Policy 2 Web Web Same-Origin Policy <script> JavaScript Same-Origin Policy HTML <script src= /> JavaScript URL HTML JavaScript HTML Same-Origin Policy XMLHttpRequest <img> <script> src HTTP JavaScript Java JavaScript Web DOM API XSS XSS Web 9 Web 2.0 セキュリティ問題への対策 Web Web Web 10 Web XSS 攻撃検知とフィルタリング技術 XSS Web 1 Web 10 9 Provos, N., McNamee, D., Mavrommatis, P., Wang, K. and Modadugu, N. : The Ghost in the Browser : Analysis of Web-based Malware, First Workshop on Hot Topics in Understanding Botnets (HotBots'07) (Apr. 10, 2007). 10 Web Ajax Web 51

9 1-a: XSS JSP <p>hello, <%= username %> <img src= <%= userimg %> > </p> 2-a: XSS JSP <p>hello, <%= filterhtml(username);%> <img src= <%filterattr(use rimg%> ></p> 1-b: JSP HTML <p>hello, Alice <script>alert( xss1 );</script> <img src= javascript:alert( xss2 ) ></p> 1-c: Hello, Alice xss2 xss1 スクリプトるの例イグを 2 2-b: JSP HTML <p>hello, Alice < script>alert( xss1 );</scr ipt><img src= ></p> 2-c: Hello, Alice <script>alert( xss1 );</script> スクリプトとる. 図 -7 JSP における出力サニタイズ例図 -7 Web JSP HTML javascript: 5 11 Flash taint analysis AntiSamy 5 12 CSRF 対策 CSRF 1 URL 2 HTML URL OWASP AntiSamyProject : Category:OWASP_AntiSamy_Project <form method= post action= > <input type= text name= abc /> <input type= hidden name= auth value= <%= token %> /> </form> <img src= <%= token%> /> <script type= text/javascript > var xhr = new XMLHttpRequest(); xhr.open( + token); xhr.send(); </script> 図 -8 CSRF 対応例図 -8 HTML hidden Web URL HTML URL XMLHttpRequest JavaScript HTTP URL URL SSL HTML HTML Web SSL 52

10 JavaScript CSRF CSRF ローカルネットワーク攻撃対策 Web Cross Site Printing Drive-by Pharming Cookie CSRF 安全なマッシュアップのためのフレームワーク Web Subspace Subspace 2 iframe Same-origin policy iframe document.domain Same-Origin Policy Subspace SMash SMash 3 iframe SMash iframe 3 iframe URL window. location SMash OpenAjax Alliance 13 今後の課題と展望 Web Web 1 Same-Origin Policy Same-Origin Policy 2 HTML Flash PDF Java Web 3 JavaScript HTML JavaScript 1 OS MashupOS 4 W3C HTML HTML

11 postmessage 5 14 XMLHttpRequest Level XMLHttp Request 16 Firefox3 17 Microsoft Internet Explorer JavaScript OS Google Chrome 19 3 JavaScript ECMAScript Ver.4 ES4 Private ES4 Web ver.3 20 Caja 21 ADSafe 22 JavaScript JavaScript 14 HTML5, 15 XMLHttpRequest Level 2, 16 Access Control for Cross-Site Requests, W3C Working Draft 12 September 2008, Cross-Site XMLHttpRequest Firefox Web Cross- Site XMLHttpRequest, XMLHttpRequest 18 Microsoft, Better Ajax Development: Windows Internet Explorer 8. Whitepaper (Mar. 2008). 19 Google Chrome, html 21 Caja, 22 ADSafe, JavaScript Web 2 3 Web 参考文献 1 Johns, M. and Winter, J. : RequestRodeo : Client Side Protection against Session Riding, OWASP Europe Conference (May 2006). 2 Jackson, C. and Wang, H. : Subspace : Secure Cross-Domain Communi cation for Web Mashups, 16th International World Wide Web Conference (WWW 07), Banff, Alberta, Canada (May 8-12, 2007). 3 Keukelaere, F. D., Bhola, S., Steiner, M., Chari, S. and Yoshihama, S. : SMash : Secure Component Model for Cross-Domain Mashups on Unmodified Browsers, 17th International World Wide Web Conference (WWW'08), Beijing, China (Apr , 2008). 4 Howell, J., Jackson, C., Wang, H. J. and Fan, X. : MashupOS - Operating System Abstractions for Client Mashups, 11th Workshop on Hot Topics in Operating Systems (HotOS XI), San Diego, CA (May 7-9, 2007). 5 Grier, C., Tang, S. and King, S. : Secure Web Browsing with the OP Web Browser, IEEE Symposium on Security and Privacy (2008) 吉濱佐知子 ( 正会員 ) sachikoy@jp.ibm.com Web ACM 石田愛 ( 正会員 ) aiishida@jp.ibm.com Web 浦本直彦 ( 正会員 ) uramoto@jp.ibm.com XML Web SOA Web

山梨県ホームページ作成ガイドライン

山梨県ホームページ作成ガイドライン 17 7 ...1...4...4...4...4...5...5 W3C...5...6...6...6...7...8...8...10...10...10... 11...12...12...13...13...13...14...14...14...15...15...16...16...16...16...16...17...18 15 (2003 ) 69.7 81.1 43.6 19.6

従来型 Web Ajax ー Webサー ー Webサー M M に M ージを M M ク イ ント JavaScript を イン M を ー に ータ 力 Submit タンを Submit の ージ る XX X 力 ータ M ータの によ に る M を に の プリに対 キー ー スによ

従来型 Web Ajax ー Webサーー Webサー M M に M ージを M M クイント JavaScript をイン M をーにータ力 Submit タンを Submit のージる XX X 力ータ M ータのによにる M をにのプリに対キーースによ