DOM Based XSSの自動検出の話

by tanakayu

Slide 1

Slide 1 text

DOM Based XSSを全自動検出したい話 tanakayu 11/14 @Shibuya.XSS#8

Slide 2

Slide 2 text

今日話すこと •DOM Based XSSを全自動検出するには • DOM Based XSS の検出手法事情 • 実際に既存ツールを用いて実験してみる • 結果をもってより良いものを目指してみるユーザに依存せず正確かつ自動的に検出したい

Slide 3

Slide 3 text

昨今のXSS事情 •サーバ型XSSに大きな変化はなし •クライアント型XSS（DOM Based XSS）はより複雑さを増している •DOM Based XSS の検出手法は現在も提案され続けている

Slide 4

Slide 4 text

DOM Based XSS •クライアントサイドスクリプトに起因するXSS •Source（入力箇所）の文字列がSink（出力箇所）でエスケープされていない際に起こりうる •http://example.jp# Source Sink 【脆弱なコード例】 alert(1)

Slide 5

Slide 5 text

探し方 •JavaScriptを頑張って読む • SourceからSinkの流れを頭で想像しながら追う • JavaScript力が求められる •ブラウザのデバッガを使いつつ頑張る • 値の受け渡し等を実際に動作を確認しながら追う • デバッガ力が求められる

Slide 6

Slide 6 text

•JavaScriptを頑張って読む • SourceからSinkの流れを頭で想像しながら追う • JavaScript力が求められる •ブラウザのデバッガを使いつつ頑張る • 値の受け渡し等を実際に動作を確認しながら追う • デバッガ力が求められる探し方(自動編) 静的解析動的解析

Slide 7

Slide 7 text

静的解析 •ソースコードからSourceとSinkを探査 • 正規表現でのパターンマッチとか ScanJS:https://github.com/mozilla/scanjs

Slide 8

Slide 8 text

問題 •ダイナミックなコード生成 •Anonymous function •難読化 ⇒XSSの可否はユーザが確認 Jjencode: http://utf-8.jp/public/jjencode.html 今回の目的には合わない...

Slide 9

Slide 9 text

動的解析 •テイント解析 1. Sourceにテイントタグを付与 2. テイントタグの伝搬を追跡 3. Sinkの状態を確認 Source Sink Propagation tag tag document.URL location.search location.hash document.write innerHTML window.location String.slice() String.split() String.replace() … … … tag Check!

Slide 10

Slide 10 text

既存ツール •DOMinator • Firefox（SpiderMonkeyを改造） • 元祖 •Tainted PhantomJS • QtWebKit（JavaScriptCoreを改造） • BlackHat Asia 2014 •Hookish • Chrome拡張 • BlackHat US 2015 TaintedPhantomJS:https://github.com/neraliu/tainted-phantomjs/ DOMinator Pro:https://www.blueclosure.com/ Hookish:http://hookish.skepticfx.com/

Slide 11

Slide 11 text

Tainted PhantomJS •テイント解析とJavaScript（alert()）動作で脆弱か判定 •Tainted? • True or False •Alert? • True or False

Slide 12

Slide 12 text

実験 •Firing Range • Google製のWebセキュリティ検査ツールのテストベッド https://public-firing-range.appspot.com/

Slide 13

Slide 13 text

結果（良い点） •FalsePositiveはゼロ • Taint & Alert の二重チェック • 定義されているSource/Sinkについては追えている •URLを渡すだけで実際にXSSできるところまで確認することができる

Slide 14

Slide 14 text

結果（惜しい点） •定義されていないSinkが検出できない • URLや他リソースがSinkとなるもの • iframe, document.location, etc.. •発火にユーザ操作が必要なものを検出できない •

Slide 15

Slide 15 text

改良 •検出ロジックの追加 • JavaScriptの動作と、それが攻撃コードによるものかを確認 ⇒alert()で表示する文字列の確認 •攻撃コードの追加 • javascript:alert(1) • data;text/html,alert(1) • etc… •攻撃完了後に使用したペイロードの存在を確認 •

Slide 16

Slide 16 text

いざ、再びのFiring Range •ユーザ操作が必要なものを検出できない •

Slide 17

Slide 17 text

最終結果 •Sinkカバー率が上がった •ブラウザに依存する問題はどうにもならない document write innerHtml document writeln document. write innerHtml document. writeln a.href embed.src document. location eval function form.action iframe.src range.creat eContextua lFragment object.data script.href setTimeout script.src Sourceをlocation.hashとした時に検出できたSink一覧

Slide 18

Slide 18 text

まとめと展望 •動的解析結構いいんじゃない？ • 結構見つけてくれた • 検査結果の信頼性も高い •ソースコードからXSSパターンを学習させてペイロードを生成できたら良さそう • 答えは全てクライアントにある