自己紹介長谷川陽介 ( はせがわようすけ ( 株 ) セキュアスカイテクノロジー常勤技術顧問セキュリティキャンプ講師 (2008 年 ~) OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUE カンファレ

Size: px

Start display at page:

Download "自己紹介長谷川陽介 ( はせがわようすけ ( 株 ) セキュアスカイテクノロジー常勤技術顧問セキュリティキャンプ講師 (2008 年 ~) OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUE カンファレ"

てるえあわび
7 years ago
Views:

1 PHP デベロッパーのための JavaScript セキュリティ入門 ( 株 ) セキュアスカイテクノロジー常勤技術顧問長谷川陽介 PHP カンファレンス福岡 2016

2 自己紹介長谷川陽介 ( はせがわようすけ ( 株 ) セキュアスカイテクノロジー常勤技術顧問セキュリティキャンプ講師 (2008 年 ~) OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUE カンファレンスレビューボード http//utf-8.jp/ jjencode とか aaencode とか

3 宣伝 : 本が出ました!!

4 ブラウザハック Wade Alcorn Christian Frichot Michele Orrù 著園田道夫西村宗晃はせがわようすけ監修 book/detail/

5 ブラウザハック書籍内日本人で唯一のバイネームな記述

6 ブラウザハック書籍内日本人で唯一のバイネームな記述監修者まえがき特に原稿が遅いはせがわようすけさんにはハラハラさせられました ( Д`;) まじすみません

7 ブラウザハック書籍内日本人で唯一のバイネームな記述監修者まえがき特に原稿が遅いはせがわようすけさんにはハラハラさせられました 2009 年に日本のセキュリティ研究家のはせがわようすけが ( Д`;) [],$_+:~{} まじすみませんとその他わずかののみで JavaScriptコードを jjencode!! v(*'ω'*)v

8 なぜ JavaScript なのかおれは PHP デベロッパーだ! いまさら JS なんて

9 なぜ JavaScript なのかブラウザの高機能化 HTML5 による表現力の向上 JavaScript の処理速度の向上 JavaScript プログラミング効率の向上言語仕様の充実化プログラミング環境の改善実行コードのブラウザ上へのシフトネイティブアプリから Web アプリへ従来サーバ側で行っていた処理がクライアントの JavaScript 上へ

10 セキュリティ対策もフロントエンドへ脆弱性もフロントエンドで増加 JavaScript コード量や扱うデータが増加比例して脆弱性も増加 XSS や CSRF などの比重が増加 Web 開発者であるからにはフロントエンドの知識も要求されて普通という時代へ今だからこその JavaScript 当然セキュリティに関連する技術も必要サーバサイドでもセキュアな API のデザインなど

11 フロントエンドでのセキュリティ問題ブラウザ上で発生する脆弱性オープンリダイレクタ DOM-based XSS CSRF Ajax データの漏えいクライアントサイドでの不適切なデータ保存 DOM API の不適切な使用などなどサイトを訪問することによって発生すなわち受動的攻撃

12 フロントエンドのセキュリティ対策攻撃側は新しい Web 技術をもっとも活用できる新しいブラウザの機能新しい HTML 要素新しい JS API クロスブラウザ対応は不要誰に遠慮する必要もなく使いたい技術を選んで使える多少不安定な技術でも構わない残念ながら銀の弾丸は存在しないこれさえやっておけばという効果的な対応方法は存在しない地道な努力地道な対応あるのみ

13 今日の話フロントエンドの比重が高まるなかで最低限の JavaScript のセキュリティ対策の話に限定 JavaScript に関するセキュリティ問題オープンリダイレクタ DOM-based XSS PHP デベロッパーでもこれくらいは対応しておいてほしいという思いで話します!

14 っとその前に脆弱性ってなんだっけ

15 クロスサイトスクリプティング書式文字列攻撃 SQL インジェクションパストラバーサル CSRF LDAP インジェクション強制ブラウズリモートファイルインクルードバッファオーバーフローセッションハイジャックそもそも脆弱性って何? OS コマンドインジェクションセッション固定攻撃 HTTPレスポンス分割メモリリークオープンリダイレクタ DoS XPath インジェクション HTTP ヘッダインジェクション

16 そもそも脆弱性って何? 脆弱性という言葉を使ったことは? 脆弱性を見つけたことは? 脆弱性を説明できる人挙手!

17 脆弱性の定義経済産業省告示第 235 号ソフトウエア等においてコンピュータウイルスコンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所ウェブアプリケーションにあってはウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような安全性が欠如している状態を含む

18 脆弱性の定義 IPA による定義脆弱性とはソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所ですコンピュータ不正アクセスやコンピュータウイルス等によりこの問題の箇所が攻撃されることでそのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいますまた個人情報等が適切なアクセス制御の下に管理されていないなどウェブサイト運営者の不適切な運用によりウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます

19 脆弱性の定義 Microsoft による定義セキュリティの脆弱性とは攻撃者が製品の完全性可用性または機密性を侵害する可能性のある製品の弱点です

20 脆弱性の定義脆弱性はただのバグ脆弱性はバグの一種です一般的なバグはできるはずのことができないというものですが脆弱性はできないはずのことができるというバグですもっと言うとできてはいけないことができるということです HASH コンサルティング徳丸浩さん

21 脆弱性はただのバグバグの少ないプログラム = 脆弱性も少ない脆弱性を減らすにはバグを減らせばいいバグは少ないのに脆弱性が多いバグは多いのに脆弱性が少ないという例はほとんどないまずはプログラムの品質をあげよう!

22 本題 : JavaScript のセキュリティ

23 JavaScript に関するセキュリティ問題ブラウザ上で発生する問題 - 受動的攻撃攻撃者のしかけた罠をトリガにユーザーのブラウザ上で問題が発生する能動的攻撃 Web サーバー受動的攻撃 Web サーバー

24 JavaScript に関するセキュリティ問題主なセキュリティ上の問題 JavaScript によるオープンリダイレクタ DOM-based XSS XHR を用いた CSRF Ajax データの漏えいクライアントサイドでの不適切なデータ保存その他 DOM API の不適切な使用

25 JavaScript に関するセキュリティ問題主なセキュリティ上の問題 JavaScriptによるオープンリダイレクタ今日話す DOM-based XSS 内容 XHRを用いたCSRF Ajaxデータの漏えいクライアントサイドでの不適切なデータ保存その他 DOM APIの不適切な使用

26 JavaScript に関するセキュリティ問題主なセキュリティ上の問題 JavaScriptによるオープンリダイレクタ今日話す DOM-based XSS 内容 XHRを用いたCSRF Ajaxデータの漏えいクライアントサイドでの不適切なデータ保存その他 DOM APIの不適切な使用 JPCERT/CC HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書を参照

27 JS によるオープンリダイレクタ

28 JS によるオープンリダイレクタ JavaScript によるリダイレクト ( ページ移動 ) location.href = url; location.assign( url ); 遷移先ページが攻撃者によってコントロール可能な場合オープンリダイレクタとなる // bad code. URL 中の # より後ろを次の URL として表示する // など var url = "/" + location.hash.substr(1); // /next に移動 location.href = url; 攻撃者はなどにユーザーを誘導 location.href = "//evil.utf-8.jp/"

29 JS によるオープンリダイレクタオープンリダイレクタ任意のサイトにリダイレクトされてしまうそれ自体は実質的に大きな問題があるわけではない間接的な影響元サイト内のコンテンツのように見せかけてユーザーを誘導フィッシングサイトへの誘導ドメインを信頼して訪問したユーザーを裏切ることにもなる

30 JS によるオープンリダイレクタオープンリダイレクタとならないために遷移先を固定リストで持つ // URL 中の # より後ろを次の URL として表示する // など const pages = { next:"/next", foo:"/foo", bar:"/bar" }; const url = pages[ location.hash.substr(1) ] "/notfound"; location.href = url; 遷移先 URL として自サイトのドメイン名を先頭に付与する const url = location.origin + "/" + location.hash.substr(1); location.href = url;

31 JS によるオープンリダイレクタオープンリダイレクタとならないために ( 続き ) Chrome,Firefox では URL オブジェクトを利用してオリジンを確認 // 相対 URL 等を絶対 URL の URL オブジェクトに変換 const url = new URL( text, location.href ); if( url.origin === " ){ location.href = url; } IE では a 要素を使って同種のことが実現可能コードは割愛

32 DOM-based XSS

33 DOM-based XSS JavaScript が引き起こす XSS サーバ上での HTML 生成には問題なし JavaScript によるレンダリング時にブラウザ上で問題が発生する // bad code // src=0 onerror=alert(1)> <html> <script> document.write( location.hash.substring(1) ); </script> </html>

34 DOM-based XSS JavaScript が実行されるまで XSS の存在がわからない既存の検査ツールでは検出不可な場合も生成される HTML 自体には問題はないリクエスト / レスポンスの監視だけでは見つからない検査ツール <xss> Web サーバーブラウザ <xss> <xss>

35 DOM-based XSS 静的コンテンツのみでも XSS する可能性動的に HTML を生成する Web アプリケーションではなく *.html しか提供してなくても XSS のある可能性がある <html> <script> document.write( location.hash.substring(1) ); </script> </html> 静的コンテンツのみの Web サーバーブラウザ

36 DOM-based XSS 攻撃者は JavaScript を読むことができるじっくり読んで脆弱性を探すことが可能脆弱性の有無を確認するための試行リクエストは不要一撃必殺で XSS を成功させる

37 DOM-based XSS IE10, XSS フィルターを通過

38 DOM-based XSS 圧倒的に不利な状況 JavaScript コード量の大幅な増加 XSS フィルタを通過することがあるサーバのログに残らないことがあるこれまでの検査方法では見つからない静的コンテンツでも XSS する攻撃者は時間をかけて XSS を探す開発時点で作りこまない必要性

39 DOM-based XSS 原因と対策原因攻撃者の与えた文字列が JavaScript 上のコードのどこかで文字列から HTML を生成あるいは JavaScript コードとして実行される // src=0 onerror=alert(1)> <html> <script> document.write( location.hash.substring(1) ); </script> </html>

40 DOM-based XSS 原因と対策原因攻撃者の与えた文字列が JavaScript 上のコードのどこかで文字列から HTML を生成あるいは JavaScript コードとして実行される // src=0 onerror=alert(1)> <html> <script> document.write( location.hash.substring(1) ); </script> </html>

41 DOM-based XSS 原因と対策原因攻撃者の与えた文字列が JavaScript 上のコードのどこかで文字列から HTML を生成あるいは JavaScript コードとして実行される // src=0 onerror=alert(1)> <html> <script> document.write( location.hash.substring(1) ); </script> </html>

42 DOM-based XSS 原因と対策原因攻撃者の与えた文字列が JavaScript 上のコードのどこかで文字列から HTML を生成あるいは JavaScript コードとして実行される // src=0 onerror=alert(1)> <html> <script> document.write( location.hash.substring(1) ); </script> </html> シンクソース

43 DOM-based XSS 原因と対策ソース攻撃者の与えた文字列の含まれる箇所シンク文字列から HTML を生成したりコードとして実行する部分ソース処理シンク

44 DOM-based XSS 原因と対策ソース攻撃者の与えた文字列の含まれる箇所シンク文字列から HTML を生成したりコードとして実行する部分 location. hash document. referrer location. search ソース処理シンク XHR etc...

45 DOM-based XSS 原因と対策ソース攻撃者の与えた文字列の含まれる箇所シンク文字列から HTML を生成したりコードとして実行する部分 location. hash document. referrer location. href document. write location. search ソース処理シンク etc... XHR etc... eval innerhtml

46 DOM-based XSS 原因と対策対策 HTML 生成時にエスケープ / 適切な DOM 操作 URL の生成時は http(s) に限定使用しているライブラリの更新サーバ側での XSS 対策と同じこれまでサーバ上で行っていたことを JavaScript 上で行う

47 DOM-based XSS 原因と対策対策 HTML 生成時にエスケープ / 適切な DOM 操作 URL の生成時は http(s) に限定使用しているライブラリの更新サーバ側での XSS 対策と同じこれまでサーバ上で行っていたことを JavaScript 上で行う

48 DOM-based XSS 原因と対策 HTML 生成時に適切な DOM 操作 JavaScript でレンダリングされる直前エスケープではなく適切な DOM 操作関数 // bad code document.write( location.hash.substring( 1 ) ); const text = document.createtextnode( location.hash.substr( 1 ) ); document.body.appendchild( text );

49 DOM-based XSS 原因と対策テキストノードだけでなく属性値も // bad code var text = "..."; // 変数 textは攻撃者がコントロール可能 form.innerhtml = '<input type="text" name="key" value="' + text + '">'; <input... value=""><script>...</script ""> const text = "..."; // 変数 text は攻撃者がコントロール可能 const elm = document.createelement( "input" ); elm.setattribute( "type", "text" ); elm.setattribute( "name", "key" ); elm.setattribute( "value", text ); // 属性値を設定する form.appendchild( elm );

50 DOM-based XSS 原因と対策 HTML 生成時に適切な DOM 操作関数テキストノードの生成 createtextnode, innertext, textcontent 属性の設定 setattribute シンクとなる API を不用意に使用しない innerhtml, document.write,...

51 DOM-based XSS 原因と対策とはいえ innerhtml を使わざるを得ないケースもあるサーバから HTML 断片を XHR で取得し HTML 内に挿入する等 // bad code // のような URL でアクセスすると // /news の内容を XHR で取得して HTML として挿入 var url = "/" + location.hash.substr(1); var xhr = new XMLHttpRequest(); xhr.open( "GET", url, true ); xhr.onload = function(){ document.getelementbyid( "news-list" ).innerhtml = xhr.responsetext } xhr.send( null );

52 XMLHttpRequest 経由での XSS 攻撃者がのような URL に誘導することで本来とは異なるサーバから HTML 断片がロードされてしまう // bad code // のようなURLでアクセスすると // /news の内容をXHRで取得してHTMLとして挿入 var url = "/" + location.hash.substr(1); var xhr = new XMLHttpRequest(); xhr.open( "GET", url, true ); url = " //attacker.example.com/ " xhr.onload = function(){ document.getelementbyid( "news-list" ).innerhtml = xhr.responsetext } xhr.send( null );

53 XMLHttpRequest 経由での XSS サーバ側で生成済みの HTML 断片をブラウザ内に流し込みたい HTML 断片なのでテキストノードとして扱えない innerhtml を使うしかない対策 : 自身のサーバ以外とは接続できないよう URL を限定するオープンリダイレクタ対策と同様 URL を固定リストで持つ自サイトのドメイン名を先頭に付与する URL オブジェクトを使って絶対 URL を生成

54 XMLHttpRequest 経由での XSS 対策 - 自身のサーバ以外とは接続できないようにする URL を固定リストで持つ // URL 中の # より後ろを次の URL として表示する // など const pages = { news:"/news", info:"/info", foo:"/foo" }; const url = pages[ location.hash.substr(1) ]; if( url ){ xhr = new XMLHttpRequest(); xhr.open( "GET", url, true ); xhr.onload = function(){ elm.innerhtml = xhr.responsetext; } xhr.send( null ); }

55 XMLHttpRequest 経由での XSS 対策 - 自身のサーバ以外とは接続できないようにする URL 先頭に自身のホスト名を付与する方法はオープンリダイレクタが存在していると攻撃者に回避されてしまうのであまり勧められない // あまりよくないコード const url = location.origin + "/" + location.hash.substr(1); if( url ){ xhr = new XMLHttpRequest(); xhr.open( "GET", url, true );... のようなオープンリダイレクタが存在しているとのような指定で他サイトから XHR で取得してしまう

56 DOM-based XSS 原因と対策対策 HTML 生成時にエスケープ / 適切な DOM 操作 URL の生成時は http(s) に限定使用しているライブラリの更新サーバ側での XSS 対策と同じこれまでサーバ上で行っていたことを JavaScript 上で行う

57 DOM-based XSS 原因と対策 URL の生成時は http(s) に限定 //bad code // <a id="link"> リンク </a> var url = "..."; // 変数 urlは攻撃者がコントロール可能 var elm = document.getelementbyid( "link" ); elm.setattribute( "href", url ); <a id="link" href=" javascript:alert(1) "> リンク </a> // url がで始まる場合のみに限定 if( url.match( /^https?: / // ) ){ const elm = document.getelementbyid( "link" ); elm.setattribute( "href", url ); }

58 DOM-based XSS 原因と対策 URL の生成時は http(s) に限定他のスキームが入り込まないように javascript:, vbscript:, data:, <a> 要素だけでなく location オブジェクトの操作時にも注意 // bad code var url = "javascript:alert(1)"; location.href = url; // XSS location.assign( url ); // XSS if( url.match( /^https?: / // ) ){ locatoin.href = url; }

59 DOM-based XSS 原因と対策 Chrome,Firefox であれば URL オブジェクトも利用可能 const url = new URL( text, location.href ); if( url.protocol.match( /^https?/ ) ){ // http or https } IE では a 要素を使って同種のことが実現可能コードは割愛

60 DOM-based XSS 原因と対策対策 HTML 生成時にエスケープ / 適切な DOM 操作 URL の生成時は http(s) に限定使用しているライブラリの更新サーバ側での XSS 対策と同じこれまでサーバ上で行っていたことを JavaScript 上で行う

61 DOM-based XSS 原因と対策使用してるライブラリの更新 JavaScript ライブラリの脆弱性対応使用している JS ライブラリの更新を把握すること Masato Kinugawa Security Blog: jquery Mobile 1.2 Beta 未満は読み込んでいるだけで XSS 脆弱性を作りますサーバ側のミドルウェア等の運用と同じ

62 DOM-based XSS 原因と対策対策 HTML 生成時にエスケープ / 適切な DOM 操作 URL の生成時は http(s) に限定使用しているライブラリの更新サーバ側での XSS 対策と同じこれまでサーバ上で行っていたことを JavaScript 上で行う

63 まとめブラウザ上 JavaScript 上の脆弱性が増加 JS コード量処理量の増加脆弱性はただのバグバグを減らす = 脆弱性が減る攻撃者有利な状況脆弱性を作りこまない必要性

64 質問? @hasegawayosuke

長谷川陽介 ( はせがわようすけ OWASP Kansai チャプターリーダー OWASP Japan アドバイザリボードメンバー株式会社セキュアスカイテクノロジー CTO セキュリティキャンプ講師 (2008~) CODE BLUE カンファレンスレビュー

長谷川陽介 ( はせがわようすけ OWASP Kansai チャプターリーダー OWASP Japan アドバイザリボードメンバー株式会社セキュアスカイテクノロジー CTO セキュリティキャンプ講師 (2008~) CODE BLUE カンファレンスレビュー OWASP Kansai Chapter Yosuke HASEGAWA 長谷川陽介 ( はせがわようすけ / @hasegawayosuke) OWASP Kansai チャプターリーダー OWASP Japan アドバイザリボードメンバー株式会社セキュアスカイテクノロジー CTO セキュリティキャンプ講師 (2008~) CODE BLUE カンファレンスレビューボード http://utf-8.jp/

自己紹介 長谷川陽介 ( はせがわようすけ ( 株 ) セキュアスカイ テクノロジー常勤技術顧問 セキュリティキャンプ講師 (2008 年 ~) OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUE カンファレ

自己紹介長谷川陽介 ( はせがわようすけ ( 株 ) セキュアスカイテクノロジー常勤技術顧問セキュリティキャンプ講師 (2008 年 ~) OWASP Kansai チャプターリーダー OWASP Japan ボードメンバー CODE BLUE カンファレ