めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA.

めんどうくさくない Bugハンティング Jul Yosuke HASEGAWA

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイ・テクノロジー技術顧問
Microsoft MVP for Consumer Security Oct セキュリティキャンプ Webセキュリティクラス講師

これまでに調べた脆弱性 Webブラウザ、Webアプリケーションを中心にいろいろ…
CVE XSS of Mozilla Firefox CVE XSS of SquirrelMail CVE XSS of Internet Explorer CVE XSS of Mozilla Firefox CVE XSS of Namazu CVE XSS of Movable Type CVE Cross-origin data disclosure of Mozilla Firefox CVE Cross-origin data disclosure of Internet Explorer CVE XSS of Mozilla Firefox CVE XSS of Google Search Appliance CVE XSS of Sage CVE XSS of Mozilla Firefox

質問 Question

質問 : Web技術、好きですか? Q. Do you love web technologies?

質問 : Web技術、好きですか? Q. Do you love web technologies?
クロスサイトスクリプティング強制ブラウズ書式文字列攻撃リモートファイルインクルード SQLインジェクション LDAPインジェクションバッファオーバーフローパストラバーサル CSRF 質問 : Web技術、好きですか? Q. Do you love web technologies? セッションハイジャック OSコマンドインジェクションオープンリダイレクタセッション固定攻撃 DoS メモリリーク HTTPレスポンス分割 HTTPヘッダインジェクション XPathインジェクション

Web技術、好きですか? 「はい」に挙手した人かなり打たれ強い or 攻撃者

そもそもバグハンターって？

バグハンター(適当な想像) バグハンターってこんな人だバグハントの方法いつもバイナリエディタを開いてるデバッガは友達
電卓立ち上げたら勝ちだと思ってるバグハントの方法とにかくコードを追うファザーで叩く見つけるための根気と執念

バグハンター ≒ バイナリアン？否

バイナリもWebもバグハンターの資質は変わらない
バグハンター(適当な想像) バイナリ系バグハンターいつもバイナリエディタを開いてるデバッガは友達電卓立ち上げたら勝ちだと思ってるバグハントの方法とにかくコードを追うファザーで叩く見つけるための根気と執念 Web系バグハンターいつもローカルHTTPプロキシを開いてる IEは友達 alert立ち上げたら勝ちだと思ってるバグハントの方法とにかく入出力を追うスキャナで叩く見つけるための根気と執念バイナリもWebもバグハンターの資質は変わらない

とにかく(コード|入出力)を追う見つけるための根気と執念
だいぶめんどくさい！

「未来を予測する最善の方法は、それを創りだすことだ」
バグ探しめんどくさい！執念深く探すのはだいぶめんどくさい探さずにバグを見つける方法はないものか？「未来を予測する最善の方法は、　それを創りだすことだ」アラン・ケイ

脆弱性も「創り」だしちゃえばいいんだ!!!

脆弱性を創りだす新しい脆弱性を「創りだす」めんどくさい解析とかイヤだ手より頭を使う
実装のミスではなく、既存の仕様・機能を最大限悪用できる方法を考える新しい攻撃手法を考える昨日まで安全だったソフトウェアがある日とつぜん軒並み危険になる

新しい脆弱性を創りだす既存の機能を最大限悪用できる方法、新しい攻撃手法 Unicode円記号によるパストラバーサル
UTF-7によるXSS(IE) E4X+WebWorkersによるデータ漏えい(Firefox)

Unicode円記号によるパストラバーサル

円記号によるパストラバーサル Unicodeにはパス区切りの∖(U+005C)とは別に\(U+00A5)が定義
UnicodeからShift_JISへの変換でどちらも0x5Cに置き換わるいろいろできるんじゃね？

円記号によるパストラバーサル Unicodeの入力を持ちながら内部はShift_JISで処理
NTFS/FAT32上のファイル名アンチウイルスでDoS、検索エンジンのインデックサでトラバーサルなどメーラの添付ファイル一時展開するディレクトリを超えて展開

円記号によるパストラバーサル

UTF-7によるXSS

UTF-7によるXSS 初出: 2005年12月、Googleを対象としたXSSをYair Amit氏が報告

UTF-7によるXSS 文字コードをUTF-7と誤認することによるXSS +ADw-script+AD4-alert(1)+ADw-script+AD4- 当時の対策「charsetをつける」文字コードを誤認させるのが目的ならcharsetついてても攻略できるんじゃね?

UTF-7によるXSS charsetついてても
IEが認識できないcharsetならXSS可能 Content-Type: text/html;charset=cp932 <meta>より前にニセの<meta>吐いてXSS可能 <title>+ADw-/title+AD4APA-meta http-equiv+AD0-content-type content+AD0-text/html+ADs-charset=utf-7+AD4-</title>

UTF-7によるXSS GoogleのあちこちでXSS可能でした www, news, books, Appliance… (今ならがっぽり報奨金もらえたのに…)

E4X+WebWorkerによるデータ漏えい

E4X + Web Workers = データ漏えい
ECMAScript for XML (ECMA-357) JS内に直接XMLを記述可能 Firefox 15以前、ActionScriptでサポート

ECMAScript for XML (ECMA-357) JS内に直接XMLを記述可能 Firefox、ActionScriptでサポート var s = <mail> <subject>Test mail</subject> <from>Yosuke HASEGAWA</from> </mail> ; alert( s.subject );

XML内にJSの記述もできる。 XML内の {....} はJavaScriptとして動作

XML内にJSの記述もできる。 XML内の {....} はJavaScriptとして動作 var s = <mail> <subject>Test mail</subject> <from> { alert(1) } </from> </mail> ; alert( s.subject ); { alert(1) }

E4XはJavaScript 外部から読み込み可能

var s = <mail> <subject>Test mail</subject> </mail> ; <script src="e4x.js"></script> <script> alert( s.subject ); </script>

これはJavaScript? HTML? HTMLでもありJavaScriptでもある <div> { alert( "Hello, E4X World." ); } </div> Hello, HTML World.

攻撃者がHTML内の2か所に文字列を挿入可能な場合、その間のメッセージが外部から取得可能 (以下のコードは現在のFirefoxではそのままでは動作しません) <div>{ foo( <span>秘密のメッセージ部分</span> ) } </div> <script> function foo( s ){ alert( s ); } </script> <script src="target.html"></script>

FirefoxでのE4Xによるデータ漏えい対策 XML宣言、DOCTYPE宣言のついたXML,HTMLはE4Xとして解釈不可 script srcとして読み込まれたJSが単一のXMLオブジェクトのときはエラーとしてJSを実行しない泥臭い… <div>{ foo( <span>秘密のメッセージ</span> ) } </div> // JavaScriptとして動作しない var s = <div>{ foo( <span>秘密のメッセージ</span> ) } </div>; // JavaScriptとして動作する

JavaScript待望のマルチスレッド機構バックグランドで重い処理を実行 DOMとは切り離されている

var worker = new Worker( "worker.js" ); worker.onmessage = function( event ) { ... }; worker.postMessage( msg ); メイン側 onmessage = function( event ){ /* 時間のかかる処理 */ postMessage( msg ); // メイン側に通知 } worker.js

new Workers( src ) は同一オリジンのみ (プロトコル、ホスト、ポートが一致すること) Worker内からは間接的に他オリジンのJSも利用可能 var worker = new Worker( "worker.js" ); // OK var worker = new Worker( " ); // NG メイン側 importScripts( " ); // OK worker.js

FirefoxでのE4Xによるデータ漏えい対策 script srcとして読み込まれたJSが単一のXMLオブジェクトのときはエラーとしてJSを実行しない …というのが、Web Workers のimportScripts では効いていなかった E4XとWeb Workersを組み合わせると外部サイトのHTML内のデータを盗み見ることが可能だった <div>{ foo( <span>秘密のメッセージ</span> ) } </div> // JavaScriptとして動作しない var s = <div>{ foo( <span>秘密のメッセージ</span> ) } </div>; // JavaScriptとして動作する

FirefoxでのE4Xによるデータ漏えい対策 E4XとWeb Workersを組み合わせると外部サイトのHTML内のデータを盗み見ることが可能だった // 罠サイト: WebWorkersからJSとしてHTMLを読む var worker = new Worker( “ ); // JavaScriptとして動作する <div>{ foo( <span>秘密のメッセージ</span> ) } </div>

単一XMLオブジェクトが読み込めない仕様通りの実装だと脆弱性を生むいったんは収まったがWeb Workersの実装に伴い再度オープン枯れていない新しい機能は狙い目 MFSA で修正済み

ちなみに Mozilla Security Bug Bounty Programの対象なので賞金もらいました :-)

$500の小切手!! (今なら$3000なのに)

まとめ

まとめめんどくさくない方法でバグハント！脆弱性を創りだす報奨金は報告のタイミング次第個別の脆弱性を丹念に探すのではなく
新しい攻撃手法を創りだしそれに合致するソフトウェアの実装を探す報奨金は報告のタイミング次第うまくやればバグハンティングで暮らせる時代！

質問 @hasegawayosuke

めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA.

Similar presentations

Presentation on theme: "めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA."— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA.

Similar presentations

Presentation on theme: "めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA."— Presentation transcript:

Similar presentations

About project

フィードバック