クロスサイトスクリプティング対策

1 ：名無しさん＠お腹いっぱい。：01/10/27 10:37 ID:AENF9z2S

http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf

簡単にいって、フォームの入力をサーバサイドで処理してHTMLと
して出力する時に、文字のエスケープを適切に行わないと、
Cookieを取得するJavaScriptを埋め込み＆出力結果を別サイトに
リダイレクトする、というような方法を使ってCookieを第三者に
盗まれる可能性がある、ということです。

上の資料を参考にしながら、
それぞれの処理系における、どのようの文字列エスケープを行うべきか、
といったサーバサイドの対策に関する情報を交換していきたいと思います。

2 ：名無しさん＠お腹いっぱい。：01/10/27 11:07 ID:AENF9z2S

とりあえずは、Perlの場合で、BBSやチャットだと、
一番カタイのはタグ禁止ということにして<,>を文字実体参照に変換してしまう
のが手っ取り早いと思います。

3 ：名無しさん＠お腹いっぱい。：01/10/28 03:25 ID:ZO04qCcD

セキュリティ板に載ってました、クロスサイトスクリプティング脆弱性の
最近の具体例が。
http://memo.st.ryukoku.ac.jp/archive/200110.month/index.html
のArticle 1756。見ればわかりますがHTMLタグのエスケープ処理を
忘れてるものと思われます。<SCRIPT>タグなんか埋め込まれた日には
色々悪さされそうです。

4 ：名無しさん＠お腹いっぱい。：01/11/02 23:53 ID:bu2IICno

本気で対策したい人たちが読むことを期待して。
少なくともFORMから入力されたパラメタは、全て読み込んだ時点で
実体参照に置換してしまう(汚染チェックも行う)。
s/&/&/g
s/</</g
s/>/>/g
s/"/"/g
URLやHTTPヘッダもそうするべきだけど、そこまでは辛いか?後は比較などで、
元の文字列でなければ困るところだけ、一時的に元に戻すようにする。
s/</</g
s/>/>/g
s/"/"/g
s/&/&/g
(上記は2chがちゃんと処理してなかった場合ちゃんと見えないかも。
面倒なんでその場合はページのソースを見てください)
必要な箇所での戻し忘れがあった場合の不都合は、比較的簡単に目に見えるので
どってこたない。置換を忘れた場合は見つけにくい上にセキュリティ問題になる
ことを考えれば、これくらい徹底した方がいいのでは?

5 ：名無しさん＠お腹いっぱい。：01/11/03 00:20 ID:zLquoryW

男は黙って tr/\W//d

6 ：4：01/11/03 00:48 ID:???

s/&/&amp;/g
s/</&lt;/g
s/>/&gt;/g
s/"/&quot;"/g
だ。下のは
s/&amp;/&/g
s/&lt;/</g
s/&gt;/>/g
s/&quot;"/"/g
ふー…ちゃんと&と"も置換してよ。

7 ：age：01/11/03 00:52 ID:???

age

8 ：age：01/11/03 17:57 ID:???

age

9 ：名無しさん＠お腹いっぱい。：01/11/03 19:10 ID:???

＆をエスケープしないのはﾔﾊﾞｰｲよ！
ネスケ４で見てね。

10 ：9：01/11/03 19:17 ID:???

つづく

11 ：10：01/11/03 19:17 ID:???

こんなことも(;´Д`)

12 ：10：01/11/03 19:24 ID:???

ｼﾊﾟｰｲｼﾀｰﾖ

13 ：12：01/11/03 19:25 ID:???

これでどーよ、ネスケ４

14 ：名無しさん＠お腹いっぱい。：01/11/04 14:11 ID:???

神が降臨ｼﾃﾙﾖ

15 ：神じゃないけど：01/11/05 23:36 ID:???

ネスケで見てる人はあまりいなかったのかage

16 ：名無しさん＠お腹いっぱい。：01/11/05 23:40 ID:gvBrmPxu

真の神は、やっぱりMSのPassportでしょ。

http://www.zdnet.co.jp/news/0111/05/e_wallet.html

17 ：名無しさん＠お腹いっぱい。：01/11/06 01:05 ID:???

神はみんなに平等にcookieを読む権利を与えたのだ

18 ：名無しさん＠お腹いっぱい。：01/11/06 01:28 ID:???

パンが無ければCookieを食べればいいじゃない。

19 ： ：01/11/06 13:33 ID:hz5ky/YY

くそ・・・ネスケ４で見たら落ちたよ（涙）

20 ：名無しさん＠お腹いっぱい。：01/11/06 15:28 ID:???

>>13
そーいや、それについての警告を見た事無いな。
何処かに名文ないものかな？

21 ：名無しさん＠お腹いっぱい。：01/11/06 16:19 ID:8Is73jkR

>>20
これとか：
http://www.securityfocus.com/archive/1/50782
この著者は先日MicrosoftのPassportの問題を指摘した人物。
Apache Softoware Foundationのメンバーで、1.3.11の同脆弱性を直した人。

22 ：名無しさん＠お腹いっぱい。：01/11/09 00:12 ID:ShSwDwY3

いや明日仕事で、うちの会社で開発したwebサービスの
クロスサイトスクリプティング対策をやんなきゃいけなくって、
できる限りﾔﾊﾞｰｲのを発見しないといけないんだけどさー、
どうするのがいいかねぇ。

23 ：名無しさん＠お腹いっぱい。：01/11/09 00:42 ID:???

>>21
英語か:-(
誰か和訳してくれないものかな。

24 ：名無しさん＠お腹いっぱい。：01/11/09 21:56 ID:QF/0zNjv

>22
まず、実体参照への変換関数(メソッド)を固定の記号に置き換えて返すように変更して実行してみる。
例えば"====================="とか。
そして、フォームの全てのパラメタに"**************************************************"とかの
目立つ文字列を入れてみて、後者がブラウザ上に現れたらアウト。
※hiddenフィールドもチェックしないとね

ただしそれだけだと、URLやHTTPヘッダのチェックが見落としやすいな…。
URL等をブラウザに表示している箇所は、"*********..."が表示されるはずだからそうなっていない
生のURLやUser-Agent等のヘッダの文字列が表示されていたらアウトなわけだけど…。

25 ：名無しさん＠お腹いっぱい。：01/11/09 21:57 ID:QF/0zNjv

後は全エラー画面をチェックしないといけないが、これは画面よリソースをチェックした方が早いだろうなぁ。

26 ：名無しさん＠お腹いっぱい。：01/11/09 23:25 ID:???

PHP 使ってますが。
フォームからのものとか、REMOTE_ADDR、REMOTE_HOSTなど
すべて strip_tags() してますが、安全でしょうか？

27 ：名無しさん＠お腹いっぱい。：01/11/10 00:07 ID:9tmYIcvX

たぶん。としかいえんなぁ。変換関数が組み込みのものだと24に書いたみたいなテスト方法は駄目だね。
要はそれを忘れてないかどうかが問題なので。
環境変数等から変数に代入する時点で変換するというポリシーが貫けているなら、
この問題に対してはほぼ安全と思う。

28 ：26：01/11/10 00:58 ID:???

>>27
とりあえずhiddenを含め全部やってるはずなので、一応安心しておきます。

29 ：cookieが表示されない：01/11/12 16:46 ID:???

セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/ の
MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection (セキュリティアンテナ, 2001.11.09)にあるデモ

http://www.solutions.fi/index.cgi/extra_iebug?lang=eng
でamazon.co.jpを読むと（事前にamazon.co.jpのcookieを取り込んである）
MSIE cookie vulnerability test page
This page displays the cookies found on your browser for site amazon.co.jp:
Cookies:
No cookies found for site...
Click here to make new search for cookies.
−−−−−
アクティブスクリプトに対して「プロンプトを表示」で表示されたら
はい（Ｙ）を選択する。
こんなダイアログ−http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/ie6-script-dialog.png
−−−−−
アクティブスクリプトを実行しなければ　"; document.location=url; と表示される。
−−−−−
デモが表示された後、「戻る」と
警告: ページの有効期限切れ 要求したページは、フォームで送信された情報を使用して作成されました。このページは、もう利用できません。セキュリティ保護のため、情報は自動的には再送信されません。
情報を再送信し、この Web ページを表示するには、ツール バーの [更新] ボタンをクリックしてください。　となる。

30 ：名無しさん＠お腹いっぱい。：01/11/12 17:13 ID:???

>>29
IE5.5とIE6しか再現しないそうだ

31 ：＞３０：01/11/12 18:24 ID:???

ＩＥは５．０１ＳＰ２です。
http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-055
によると、
テストしたバージョン :
マイクロソフトは Internet Explorer 5.5 SP2 および 6 のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポート (英語情報) の対象となっていないため、この脆弱性による影響は不明です。
とのこと。
ということは、５．０１でも危険ということだろうか。

32 ：名無しさん＠お腹いっぱい。：01/11/26 07:56 ID:???

age

33 ：名無しさん＠お腹いっぱい。：01/12/17 07:29 ID:BojNQSph

age

34 ：テスト：01/12/19 07:01 ID:RLJpoDQa

http://pc.2ch.net/&{document.write(document.cookie)};

35 ：テスト：01/12/19 07:06 ID:???

http://pc.2ch.net/&{document.cookie};

36 ：名無しさん＠お腹いっぱい。：02/01/12 14:08 ID:???

age

37 ：　：02/01/26 08:50 ID:SUrQysHb

a

38 ：名無しさん＠お腹いっぱい。：02/01/26 11:51 ID:???

こんなのmail欄に入れたらどうなるんだろう？
&{document.captureEvents(Event.LOAD);window.onload=new Function('for(var i=0;Boolean(document.links[i]);i++)document.links[i].href=\'\';')};

39 ：名無しさん＠お腹いっぱい。：02/01/26 13:20 ID:???

>38
自分でやってみてよ(笑)

40 ：名無しさん＠お腹いっぱい。：02/01/26 13:47 ID:???

メール欄が長すぎます・・・だって（笑）

&{for(var i=0;document.links[i];i++)document.links[i].href='';};
これは大丈夫やった。

41 ：名無しさん＠お腹いっぱい。：02/01/26 14:05 ID:???

>40
どこでやってきたの？(笑)

42 ：名無しさん＠お腹いっぱい。：02/01/26 17:32 ID:???

>>41
色んなところ。反応が一つもないところを見ると
NN4でスクリプトONにしてる奴、あんまおらんのかな？

43 ：名無しさん＠お腹いっぱい。：02/01/26 22:09 ID:???

age

44 ：名無しさん＠お腹いっぱい。：02/01/26 22:19 ID:???

age

45 ：ネスケ4.7使用者：02/01/27 10:13 ID:???

>>42
ひいい・・・・2ちゃんで窓が出たよう・・・。

46 ：名無しさん＠お腹いっぱい。：02/01/27 10:17 ID:???

>45
(笑)

47 ：仕様書無しさん：02/01/27 23:08 ID:???

>>40
分割すればいいみたい。>>12>>13

48 ：名無しさん＠お腹いっぱい。：02/02/06 03:45 ID:???

テスト