XSSについて説明します

Transcript

1. ฏ઒ɹ঵ଠ XSSʹ͍ͭͯઆ໌͠·͢ɻ

2. XSSͬͯԿͧ΍🤔 • XSS(ΫϩεαΠτεΫϦϓςΟϯά) ܝࣔ൘αΠτ΍TwitterͷΑ͏ͳɺϢʔβʔ͔Βͷೖྗ಺༰ʹΑͬͯද͕ࣔಈతʹมΘΔ Webϖʔδ΍WebΞϓϦέʔγϣϯʹ͓͍ͯɺWebαΠτʢඪతαΠτʣͷ੬ऑੑ ʢXSS੬ऑੑʣΛར༻ͨ͠߈ܸख๏Λࢦ͢ɻ

3. ߈ܸͷྲྀΕ ᶄϢʔβʔ͕ܝࣔ൘αΠτBΛӾཡ͢Δɻ ᶃ߈ܸऀC͕XSSʹରͯ͠੬ऑੑͷ͋ΔAࣾΛൃݟ͠ɺAࣾʹ ڵຯΛ࣋ͪͦ͏ͳϢʔβʔͷ͍Δܝࣔ൘αΠτBʹ᠘Λ࢓ֻ͚Δ (ྫɿεΫϦϓτ෇͖ϦϯΫΛషΔͳͲ) ᶅܝࣔ൘αΠτB಺ͰεΫϦϓτ࣮ߦ ᶆϢʔβʔ͸εΫϦϓτ৘ใΛ࣋ͬͨ··AࣾͷϖʔδʹҠಈ ʢΫϩεαΠτʣ͢Δɻ ᶇεΫϦϓτͷޮՌʹΑΓʮAࣾͷαΠτͱͯ͠ʯදࣔ͞Εͨ ِαΠτʹδϟϯϓ͢Δɻὃ͞ΕͨϢʔβʔ͕৘ใΛೖྗͨ͠

   ݁ՌɺεΫϦϓτ͕ѱ͞Λ͢Δ ᶈ߈ܸऀCͷखʹΑΓɺϢʔβʔʹର༷ͯ͠ʑͳඃ֐͕ൃੜ ʢϚϧ΢ΣΞײછɾ߈ܸऀC΁ͷ৘ใ࿙ӮͳͲʣ ൓ࣹܕXSS

4. ߈ܸͷݪҼ XSSͷࠜຊతͳݪҼ͸ɺ߈ܸऀ͕ෆਖ਼ͳεΫϦϓτΛૠೖ͢Δ͜ ͱ͕Ͱ͖Δ؀ڥΛ༩͑ͯ͠·͏͜ͱʹ͋Δɻ XSSʹରͯ͠੬ऑੑΛ࣋ͭಈతαΠτͷ์ஔͰ͋Δɻ ͜ͷεΫϦϓτจষʹ͸ɺΤϯυϢʔβʔଆ͕อ༗͢Δݸਓ৘ใ ΛඪతαΠτͱ͸ผͷαΠτʹૹ৴͢ΔΑ͏ʹઃఆ͞Ε͓ͯΓɺ ͜Ε͕௚઀తͳඃ֐ΛੜΈग़͢ݪҼͱͳ͍ͬͯΔɻ

5. ߈ܸඃ֐ͷӨڹ XSSʹΑΔ߈ܸ͸ɺඪతαΠτͷΤϯυϢʔβʔ͕ඃ֐Λड͚Δ͜ ͱͰൃੜ͢Δɻ୅දతͳඃ֐ྫͱͯ͠͸ɺ •Cookie৘ใΛར༻ͨ͠ɺͳΓ͢·͠ͷෆਖ਼ΞΫηε (ηογϣϯϋΠδϟοΫ) •HTMLλάΛ࢖ͬͨೖྗϑΥʔϜʹΑΔ৘ใऩू •ِαΠτΛ࢖ͬͨϑΟογϯά࠮ٗ

6. ඃ֐ࣄྫ YouTubeෆਖ਼ΞΫηεࣄ݅ (2010/7/4ʙ7/5) ถYouTubeΛૂͬͨ߈ܸ͕ൃੜ͠ɺγϣοΫͳ σϚ͕ྲྀΕͨΓɺίϝϯτ͕දࣔ͞Εͳ͘ͳΔ ͳͲͷӨڹ͕޿͕ͬͨɻ χϡʔε଎ใ!! ՎखͷδϟεςΟϯɾϏʔόʔ͕ ަ௨ࣄނͰࢮ๢

7. ඃ֐ࣄྫ ͜ͷ߈ܸͰ͸YouTubeͷίϝϯτγεςϜʹଘࡏ͢ΔXSSͷ੬ऑੑ͕ ѱ༻͞Εͨɻ ۩ମతʹ͸ɺίϝϯτΞϓϦέʔγϣϯͷग़ྗσʔλͷ҉߸Խॲཧʹ ໰୊͕ଘࡏ͓ͯ͠Γɺ͜ΕΛಥ͍ͯ߈ܸऀ͕CookieΛ౪Έɺ JavaScriptίʔυΛ࢓ࠐΜͰϢʔβʔͷWebϒϥ΢βͰ࣮ߦ͞ΕΔ͜ ͱ͕Ͱ͖ͯ͠·ͬͨͱݟΒΕΔɻ ͦͷଞʹ΋ෆਖ਼ͳϙοϓΞοϓ͕ग़ͨΓɺѱझຯͳWEBαΠτʹϦμ ΠϨΫτ͞ΕͨΓ͢Δέʔε͕૬͍࣍Ͱ͍ͨͱݴΘΕ͍ͯΔɻ

8. WebαΠτͷ੬ऑੑͷछྨผͷಧग़ঢ়گ 2019೥ୈ4࢛൒ظ(10݄ʙ12݄)

9. ߈ܸ͞Εͳ͍ͨΊͷରࡦ 1.ೖྗ஋ͷ੍ݶ ྫɿID΍ύεϫʔυΛೖྗ͢ΔϑΥʔϜͰ͸ʮ൒֯ӳ਺ࣈ◦จࣈ·Ͱʯ ͳͲ੍ݶ͢Δ αʔόʔଆͰͷೖྗ஋ͷ੍ݶΛ͢ΔͨΊʹJavaScriptΛ࢖ͬͯϢʔβʔଆͷ ϒϥ΢βͰߦΘͤΔํ๏΋͋Δ͕ɺϢʔβʔ͕JavaScriptΛແޮʹ͍ͯ͠Ε͹ ೖྗ஋ͷ੍ݶ͕ߦΘΕͳ͍ͷͰXSS߈ܸͷର৅ʹͳΒͳ͍ɻ

10. ߈ܸ͞Εͳ͍ͨΊͷରࡦ 2.αχλΠδϯά(Τεέʔϓ) αΠτͷϑΥʔϜͳͲ΁εΫϦϓτͷߏ੒ʹඞཁͱͳΔจࣈ͕ೖྗ͞Εͨ৔߹ʹɺ ͦͷจࣈΛผͷจࣈ΁ॻ͖׵͑ͯ͠·͏ख๏ͷ͜ͱɻ ͜ΕʹΑΓɺԾʹ߈ܸऀ͕εΫϦϓτΛຒΊࠐ΋͏ͱͯ͠΋ແޮԽ͢Δ͜ͱ͕Ͱ͖ Δɻ ର৅ͷจࣈ ฦؐޙͷจࣈྻ < &lt;

    > &gt; & &amp; “ &quot; ‘ #39; αχλΠδϯά͢΂͖จࣈ͸؀ڥʹΑͬͯҟͳΔ͕ɺ ӈͷද͕୅දతͳྫͰ͢ɻ

11. ߈ܸ͞Εͳ͍ͨΊͷରࡦ 3.WAF(Web Application Firewall)ͷઃఆ WebΞϓϦέʔγϣϯઐ༻ͷϑΝΠΞ΢ΥʔϧͰ͋Δɻ ϑΝΠΞ΢Υʔϧͱ͍͏ͱɺϙʔτ൪߸΍IPΞυϨεͳͲʹΑΓ߈ܸΛ๷ޚ͢Δ ωοτϫʔΫϨϕϧͷํ͕Α͘஌ΒΕ͍ͯΔɻ͕ͩɺܝࣔ൘ͳͲͰೖྗ͞Εͨ಺ ༰·Ͱ͸νΣοΫ͠ͳ͍ɻͦ͜Ͱ͜ͷWAF͕ඞཁʹͳΔɻ WAF͸ɺWebΞϓϦέʔγϣϯʹର͢Δ௨৴಺༰ΛνΣοΫ͠ɺٙΘ͍͠಺༰͕ ͋Ε͹ϒϩοΫ͢Δ͜ͱ͕ՄೳͰ͋Δɻ

12. ੬ऑੑΛ೺Ѳ͓ͯ͜͠͏ • XSSͷ੬ऑੑ͸ɺ։ൃऀଆ͕ιʔείʔυΛ֬ೝ͢Δ͜ͱͰ੬ऑੑΛνΣοΫ͢Δ͜ ͱ΋ՄೳͰ͋Δɻ • ੬ऑੑΛ࡞Γࠐ·ͳ͍Α͏։ൃ͢ΔͨΊʹɺIPA(ಠཱߦ੓๏ਓɹ৘ใॲཧਪਐػߏ) ͕ެ։͍ͯ͠Δʮ҆શͳ΢ΣϒαΠτͷ࡞Γํʯ΍ʮIPA ISEC ηΩϡΞɾϓϩάϥ ϛϯάߨ࠲ʯΛࢀߟʹ্ͨ͠ɺඞཁͳ҆શରࡦΛ࣮ࢪͯ͠ɺ։ൃΛҕୗ͢Δ৔߹ʹ΋

    ࣗࣾͰ։ൃ͢Δ৔߹ͱಉ༷ʹ͜ΕΒͷରࡦΛ࣮ࢪ͢Δ͜ͱ͸ΦεεϝͰ͢ɻ

13. ·ͱΊ • XSS͕ඇৗʹةݥͳαʔόʔ߈ܸͰ͋Δ͜ͱ͸ɺաڈͷେن໛ͳෆਖ਼ΞΫηεࣄ͔݅ Β΋໌Β͔Ͱ͋Δɻ • ݸਓ৘ใͷऩूΛ໨తͱͨ͠߈ܸऀʹΑΓ࣮ߦ͞ΕΔͱɺଟେͳΔඃ֐Λٴ΅͢͜ͱ ʹͳͬͯ͠·͏ɻ • ࠜຊతͳରࡦ͸ઃܭ࣌ͷεΫϦϓτ͔Βݟ௚͢ඞཁ͕͋ΔͨΊʹඇৗʹ೉͍͠໰୊ͳ ͷͰɺαΠτͷ੍࡞ऀ͸͔ͬ͠Γͱ৘ใΛௐ͔ࠪͯ͠Βͷ࡞੒͕ඞཁͰ͋Δɻ

    • Ϣʔβʔଆ͸ΤϯυϙΠϯτͷηΩϡϦςΟιϑτΛಋೖ͢ΔͳͲɺجຊతͳηΩϡ ϦςΟରࡦ͸ߦ͓ͬͯ͘͜ͱ͕ॏཁͰ͋Δɻ

14. ࢀߟʹͨ͠αΠτɾॻ੶ • αΠτ ɹCyber security.com ʮΫϩεαΠτεΫϦϓςΟϯάͱ͸?ʯ࢓૊Έࣄྫ͔Βߟ͑Δରࡦ • ॻ੶ ʰ҆શͳWebΞϓϦέʔγϣϯͷ࡞Γํʱ120ʙ149ϖʔδ

15. 🙇͝੩ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠🙇