Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

今日から始めるXSS

ばりかた勉強会 2014/10/04(土)

  • Be the first to comment

今日から始めるXSS

  1. 1. OK 今日から始めるXSS ばりかた勉強会 2014/10/04(土) @llamakko_cafe
  2. 2. らまっこ(Llamakko) • @llamakko_cafe • 見習いバグハンター • XSSの脆弱性が大好き • XSS歴4ヶ月 • http://xss.wiki/ • セキュリティキャンプ全国大会2014卒業生 自己紹介
  3. 3. XSSって何?
  4. 4. • Cross Site Scriptingの略 • Webページの欠陥(脆弱性)を利用して、ス クリプトを注入する攻撃のこと • セッションハイジャック、フィッシングなどに 利用される XSSとは
  5. 5. • XSSと仲良くなる方法 • XSSを見つけるコツ • 脆弱性報告の仕方 • まとめ 今日のお話
  6. 6. • XSSと仲良くなる方法 • XSSを見つけるコツ • 脆弱性報告の仕方 • まとめ 今日のお話
  7. 7. XSSと仲良くなる?
  8. 8. 1. XSSに興味を持つ 2. XSSのことを知る 3. XSSのことをもっと知る 4. XSSのことをもっともっと知る XSSと仲良くなる方法
  9. 9. 1. XSSに興味を持つ 2. XSSのことを知る 3. XSSのことをもっと知る 4. XSSのことをもっともっと知る XSSと仲良くなる方法
  10. 10. 自分の場合... • 脆弱性報奨金制度の対象 →お金が稼げるかも • 様々な脆弱性の中でも発見数が凄く多い →自分でも見つけられるかも どうやればXSSって出来るんだろう? XSSに興味を持つ
  11. 11. 1. XSSに興味を持つ 2. XSSのことを知る 3. XSSのことをもっと知る 4. XSSのことをもっともっと知る XSSと仲良くなる方法
  12. 12. 自分の場合... • XSS やり方 [検索] →基本的なXSSの手法を知る • ローカル環境で実際にXSSを試してみる →XSSの仕組みを知る XSSのことをもっと知りたい! XSSのことを知る
  13. 13. 1. XSSに興味を持つ 2. XSSのことを知る 3. XSSのことをもっと知る 4. XSSのことをもっともっと知る XSSと仲良くなる方法
  14. 14. 自分の場合... • XSS Cheat Sheetを見る →様々なXSSのアプローチを知る • XSSerのサイトやブログを見る →様々なXSSの手法を知る XSSのことをもっともっと知りたい! XSSのことをもっと知る
  15. 15. 1. XSSに興味を持つ 2. XSSのことを知る 3. XSSのことをもっと知る 4. XSSのことをもっともっと知る XSSと仲良くなる方法
  16. 16. 自分の場合... • XSSの研究をする →まだ誰も知らないXSSのことを知る • 新たなXSSを求めてバグハンターになる →報奨金も手に入ってとても嬉しい 気づいたらXSSのことを必死に追いかけていた XSSのことをもっともっと知る
  17. 17. これってもしかして
  18. 18. 恋…?
  19. 19. • XSSと仲良くなる方法 • XSSを見つけるコツ • 脆弱性報告の仕方 • まとめ 今日のお話
  20. 20. • とにかく手を動かす • あとは経験と勘 XSSを見つけるコツ
  21. 21. • とにかく手を動かす • あとは経験と勘 XSSを見つけるコツ
  22. 22. • 「ここは怪しい」と思ったところには大抵変な バグがあったりします • そのバグをどのようにしてXSSに繋げるか • XSS探しはパズルゲームのようなもの • 全てのピースが合えばXSSは成功します とにかく手を動かす
  23. 23. • とにかく手を動かす • あとは経験と勘 XSSを見つけるコツ
  24. 24. あとは経験と勘 あなたならどうやって XSSを見つけますか?
  25. 25. あとは経験と勘
  26. 26. 回答例1 <script>alert(1)</script> あとは経験と勘
  27. 27. 入力した文字列がどこかに出力される場合 • 通常 <p>サンプルテキスト</p> • XSS <p><script>alert(1)</script></p> あとは経験と勘
  28. 28. 回答例2 “onclick=“alert(1) あとは経験と勘
  29. 29. 入力した文字列がvalueに出力される場合 • 通常 <input value=“サンプルテキスト”> • XSS <input value=“”onclick=“alert(1)”> あとは経験と勘
  30. 30. あとは経験と勘 XSSを知っている人は すぐに浮かんだはずです
  31. 31. これが経験と勘です あとは経験と勘
  32. 32. あとは経験と勘 • 実際に試したことは意外と覚えている • 逆に実際に試さないとあまり覚えません • 経験は手を動かせば動かすほど身につく • 勘は経験から生まれるもの
  33. 33. • XSSと仲良くなる方法 • XSSを見つけるコツ • 脆弱性報告の仕方 • まとめ 今日のお話
  34. 34. 脆弱性報告の仕方 XSSを見つけたら 脆弱性報告!
  35. 35. 脆弱性報告の仕方 脆弱性報告を したことはありますか?
  36. 36. 簡単な脆弱性報告の例 1. 脆弱性を発見する 2. 本当に脆弱性なのか検証をする 3. 再現方法などを文章にする 4. その文章をメールで送信 5. 修正を待つ 脆弱性報告の仕方
  37. 37. 脆弱性報告の仕方 あなたの脆弱性報告は 本当に伝わってますか?
  38. 38. 伝わっていない脆弱性報告の例 • 聞き返される • 再現できないと言われる • 脆弱性なのに脆弱性ではないと言われる • いくら待っても修正されない 脆弱性報告の仕方
  39. 39. 伝わっていない脆弱性報告の例 • 聞き返される • 再現できないと言われる • 脆弱性なのに脆弱性ではないと言われる • いくら待っても修正されない →文章が分かりにくい A.分かりやすい文章にする 脆弱性報告の仕方
  40. 40. 伝わっていない脆弱性報告の例 • 聞き返される • 再現できないと言われる • 脆弱性なのに脆弱性ではないと言われる • いくら待っても修正されない →再現方法を詳細に書いていない A.可能な限り再現方法を詳細に書く 脆弱性報告の仕方
  41. 41. 伝わっていない脆弱性報告の例 • 聞き返される • 再現できないと言われる • 脆弱性なのに脆弱性ではないと言われる • いくら待っても修正されない →起こりうる脅威を説明できていない A.起こりうる脅威について書く 脆弱性報告の仕方
  42. 42. 伝わっていない脆弱性報告の例 • 聞き返される • 再現できないと言われる • 脆弱性なのに脆弱性ではないと言われる • いくら待っても修正されない →個人からの報告なので相手にされていない? A.IPAを経由して報告をする 脆弱性報告の仕方
  43. 43. 伝わりやすい脆弱性報告の例 • 分かりやすい文章 • 再現方法を詳細に書く • 起こりうる脅威について書く • 脆弱性報告専用の窓口がないときはIPAを経由 して報告 脆弱性報告の仕方
  44. 44. • XSSと仲良くなる方法 • XSSを見つけるコツ • 脆弱性報告の仕方 • まとめ 今日のお話
  45. 45. • XSSに興味を持ったらとことん追求する • たくさん手を動かして経験と勘を身につける • 正しい脆弱性報告をする まとめ
  46. 46. ご清聴 ありがとうございました

×