自己紹介 XSS のほうから来ました author of jjencode, aaencode

Size: px

Start display at page:

Download "自己紹介 XSS のほうから来ました author of jjencode, aaencode"

ゆきさくいし
6 years ago
Views:

1 ぼくたちの愛した IE8

2 自己紹介 XSS のほうから来ました author of jjencode, aaencode

4 さよなら Internet Explorer 8

5 Internet Explorer 8 タイムライン年 Ajax Web 年 10 月 Internet Explorer 7 公開 2008 年 1 月 HTML5 最初のドラフト公開 2008 年 8 月 ECMAScript 4 廃案 2008 年 9 月 Google Chrome 公開 2009 年 3 月 Internet Explorer 8 公開 2010 年 2 月にはブラウザトップシェア 2011 年 3 月 Internet Explorer 9 公開 2012 年 8 月 Internet Explorer 10 公開 2013 年 10 月 Internet Explorer 11 公開 2015 年 7 月 Microsoft Edge 公開 2016 年 1 月 13 日 IE8サポート終了

6 Internet Explorer 年 3 月リリース時代は Ajax Web2.0 マッシュアップブーム eval での JSON パース JSONP を用いたクロスオリジンのデータ交換 window.name を用いた iframe 間通信 HTML5 ES5 の制定が始まったばかり MS が標準化路線へ舵を切る直前

7 Internet Explorer 8 IE8 実はすごいブラウザだった MS らしくない挑戦的な機能が山盛り特にセキュアにするための機能もたくさん独自実装だったものから標準化された機能もたくさん今日はそんな IE8 のすごいセキュリティの機能を振り返りますあんまり JS 関係なくてすみません ><

8 IE8 のここがすごいその 1 XSS フィルター

9 XSS フィルターリクエストとレスポンスを比較しスクリプトっぽい文字列があれば実行を阻止 GET /?q=<script>alert(1);</script> HTTP/1.1 HTTP/ OK Content-Type: text/html <script>alert(1);</script>

10 XSS フィルターここがすごい保守的と言われる MS がよく導入した他のブラウザに先行 NoScript(Fx) XSS Auditor(WebKit) CSP(Fx) XSS に関連する脆弱性の 37% を XSS フィルターによって低減できた

11 XSS フィルターここがすごい当然誤検出副作用も多数発生

com/bh-eu-10/presentations/lindsay_nava/blackhat-eu-2010-lindsay-nava-ie8-xss-

12 XSS フィルターここがすごい XSS フィルターの誤検出の悪用任意サイトで XSS を発生させる安全なサイトが XSS フィルターのせいで脆弱になる Universal XSS via IE8s XSS Filters Eduardo Vela Nava, David Lindsay Filters-slides.pdf IE/Edge の XSS フィルターを利用した XSS Masato Kinugawa

13 IE8 のここがすごいその 2 XDomainRequest

14 XDomainRequest クロスオリジンで使える XMLHttpRequest( モトキ XHR Level 2 なんて必要なかった!

XDomainRequest ここがすごい CORS ヘッダを先取り GET /text.txt HTTP/1.1 Host: another.example.com Origin: http://from.example.com HTTP/1.

15 XDomainRequest ここがすごい CORS ヘッダを先取り GET /text.txt HTTP/1.1 Host: another.example.com Origin: HTTP/ OK Content-Type: text/plain Access-Control-Allow-Origin: MSDN には URL を指定って書いてあるのはご愛敬

16 XDomainRequest ここがすごいエラー情報が取れない var xdr = new XDomainRequest(); xdr.open( "GET", " ); xdr.onload = function(){... }; xdr.onerror = function(){ alert( " 詳細わからないけどとにかくエラー!" ); }; xdr.send( null ); エラー情報を示すようなプロパティ等何もない

17 XDomainRequest ここがすごいリクエストヘッダレスポンスヘッダを操作できない var xdr = new XDomainRequest(); xdr.open( "GET", " ); xdr.setrequestheader( "X-test", "42" ); xdr.onload = function(){ xdr.getresponseheader( "X-test" ); } xdr.send();

18 XDomainRequest XDR ここがすごい CORS ヘッダを先取りエラー情報が取れないリクエストヘッダレスポンスヘッダを操作できないまともに XDomainRequest を使っているアプリは見たことがない XMLHttpRequest Lv.2 を待たずに実装したのはすごい

19 IE8 のここがすごいその 3 tostatichtml

20 tostatichtml HTML を表す文字列内から危険そうな文字列を削除して安全な HTML を返す

21 tostatichtml ここがすごいいい感じに安全な HTML にしてくれる tostatichtml("<img src=1 onerror=alert(1)>"); "<img src=1>" tostatichtml("<div><script></script></div>"); "<div></div>" tostatichtml("<s style='color:red;x:expression(alert(1))'>a</s>") "<s style="color:red">a</s>"

22 tostatichtml ここがすごいいい感じに安全な HTML にしてくれる div.innerhtml = tostatichtml( insecureinput ); HTML メールとか Markdown など部分的に HTML を許すアプリケーションに便利このタグとこの属性は許すみたいな細かい指定は何もできない

23 tostatichtml ここがすごいときどき tostatichtml の漏れが発生してる CVE CVE CVE CVE ブラウザの問題であり Web アプリ側の責任ではない

24 tostatichtml ここがすごい他のブラウザでは簡単な代替手段はない DOMPurify などの外部ライブラリ HTML5 iframe sandbox 標準化もされていないのであまり使われていない便利なはずなのに

25 IE8 のここがすごいその 4 X-Content-Type-Options

26 X-Content-Type-Options 返された Content-Type に従ってコンテンツを取り扱うテキストなどを HTML 扱いしない

27 X-C-T-O ここがすごい Content-Type に従うようになるテキストファイルなどで XSS が発生しない HTTP/ OK Content-Type: text/plain; charset=utf-8 Date: Sat, 16 Jan :34:56 GMT X-Content-Type-Options: nosniff これはテキストファイルです <script>alert(1);</script>

28 X-C-T-O ここがすごい Content-Type に従うようになるそれって普通じゃん? 過去との互換性維持が必要なため普通の挙動にするために特別なヘッダを導入する必要があった

29 X-C-T-O ここがすごい ( 余談 ) IE9 以降ではスクリプト CSS の読み込みも制限される以下のような場合 JS としては読み込まれない HTTP/ OK Content-Type: text/plain; charset=utf-8 Date: Sat, 16 Jan :34:56 GMT X-Content-Type-Options: nosniff document.addeventlistener( "DOMContentLoaded", function(){... } ); JS や CSS を通じた情報漏えいの防止に

30 IE8 のここがすごいその 5 X-Frame-Options

31 X-Frame-Options クリックジャッキング対策自ページのフレーム内への埋め込みを禁止する

32 X-Frame-Options ここがすごいレスポンスヘッダに含めておくことで自ページのフレームへの埋め込みが禁止できるクリックジャッキングへの対応 HTTP/ OK Content-Type: text/html; charset=utf-8 Date: Sat, 16 Jan :34:56 GMT X-Frame-Options: DENY DENY SAMEORIGIN ALLOW-FROM url のいずれか

33 X-Frame-Options ここがすごい特に大きな副作用もない X-F-O を付けたからといって特別な問題が発生するということもない攻撃者的には全くおもしろくない機能

34 まとめ

35 まとめ IE8 はアグレッシブにセキュリティ強化のための機能を含めていた互換性を犠牲にするような変更も含む Web 標準化路線への転換前夜

36 まとめ標準化されたり他のブラウザにも取り込まれたり XSS フィルター XSS Auditor NoScript CSP XDomainRequest XMLHttpRequest tostatichtml 代替なし X-Content-Type-Options Chrome も導入 X-Frame-Options 他ブラウザも導入 CSP

37 まとめ Internet Explorer 8 は新しい流れを確かに作った機能不足ばかり叫ばれ忌み嫌われていたが実際には互換性を犠牲にしても挑戦的な機能をたくさん実装していた僕たちは IE8 のことを忘れない! 知らんけど

38 さよならあいいぃ 8

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct Bypass SOP in a time of HTML5 Jan 29 2014 Yosuke HASEGAWA 自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct 2005 - http://utf-8.jp/ お知らせ HTML5 調査報告 from JPCERT/CC