Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

http://こいつの:話@shibuya.xss.moe/

3,286 views

Published on

Shibuya.XSS techtalk #7の発表資料 #shibuyaxss

Published in: Lifestyle
  • Be the first to comment

http://こいつの:話@shibuya.xss.moe/

  1. 1. ! Date -> 2016/03/28 Event -> Shibuya.XSS techtalk #7 ! http://こいつの:話@shibuya.xss.moe/ ! Speaker -> やぎはしゅ Twitter -> @yagihashoo Web -> https://xss.moe/
  2. 2. console.log(やぎはしゅ) • 八木橋 優(やぎはし ゆう) • 就職しました(約1年前)
  3. 3. 今日の話題 これ、知ってますか? 3
  4. 4. こういう機能 4
  5. 5. 仕様上は…。 • URIはRFC2396で定義、RFC3986で改定されている • RFC2396「基本的にイマイチだよね」 • RFC3986「":"より後ろの文字列をそのまま
 平文で表示すんなよ!見えちゃうから!」 • RFC1738を見ると当初はFTPやTelnetでの使用を
 想定していた形跡もあるが、全体的にもやっと
 した仕様になっている 1.ざっくりとした仕様はちゃんと定義されている 2.その取扱いについてはブラウザ側に任されている部分が多い 3.稀によくある話だけど、ブラウザ間で実装に差異がありそう 5
  6. 6. 実装上は…。 • もう死んでると思っている人も実は多そう 6
  7. 7. 各ブラウザ毎の対応状況 Windows OS X iOS Android IE ✕ ― ― ― Edge ✕ ― ― ― Chrome ◯ ◯ ✕ ◯ Firefox ◯ ◯ ◯ ◯ Safari ― ◯ ◯ ― Opera ◯ ◯ ― ◯ 7
  8. 8. 各ブラウザ毎の対応状況 Windows OS X iOS Android IE ✕ ― ― ― Edge ✕ ― ― ― Chrome 確認なし 確認なし ✕ 確認なし Firefox 確認あり 確認あり 確認なし 確認あり Safari ― 警告あり 警告あり ― Opera 確認なし 確認なし ― PWマスクあり 8
  9. 9. ユーザ確認が入るパターン 9
  10. 10. ユーザ確認が入るパターン 10
  11. 11. PWがマスクされるパターン 11
  12. 12. Firefoxの挙動 履歴表示時にユーザ名、パスワードも併せて
 表示されてしまう。 12
  13. 13. Chrome/Operaの挙動 ブラウザ終了後も認証情報が保持されている。 13 URLに認証情報を含めない場合 URLに認証情報を含めた場合 ID/PWの入力ダイアログなし Cmd+Q Cmd+Q
  14. 14. Safariの挙動 画面上に認証情報がそのまま表示されてしまう。 14
  15. 15. 攻撃への悪用可能性 • ここまでだけなら割としょーもない仕様の話 • たぶんそのうち勝手に死に絶える • ふと思いついたシナリオの話 • 割とシンプルかつ被弾する範囲も多くなりそう 15
  16. 16. 各種ルータの管理画面ハック • 管理画面のXSSやらCSRFやらは割とよく見かける • 運良く修正までこぎつけるとJVNに載る • 修正まで漕ぎ着けなかった場合は… 16
  17. 17. 管理画面攻略まで • 一般にルータの管理画面は内側にしか公開されない • 内部ネットワークの脆弱性は割と軽視されがち • ルータの管理画面の脆弱性を突くとき
 前提となる条件は以下
 1. ユーザが管理画面にログイン済である
 2. XSSが発現するURLが既知である
 3. ユーザが罠ページを踏む • 最もキツい条件が
 「ユーザが管理画面にログイン済である」
 であると思われる 17
  18. 18. ユーザが管理画面にログイン済である • 多くのルータの管理画面の認証方式がBasic認証 • ユーザ名とパスワードがわかればXSSが発現する
 ページのURLにそれらを含めるだけで強制的に
 標的をログインさせることが可能 • ユーザ名とパスワードはググれば出てくる!!
 
 ⇒ 条件1、突破 18
  19. 19. XSSが発現するURLが既知である • あるルータでXSSが発現する条件を知っている場合
 例えば反射型ならlocation.pathname以降は既知 • 残るはlocation.hostname部分だけ • 多くのルータのIPアドレスはググれば出てくる!!
 
 ⇒ 条件2、突破 19
  20. 20. ユーザが罠ページを踏む • 何らかの方法で踏ませる
 
 ⇒ 条件3、突破 20
  21. 21. まとめ • ネットワーク機器(特に家庭用のルータ)のXSSは
 攻撃成立の難易度が普通のXSSに比べて難しいわけ
 ではない! • URL中の認証情報、ちょっと掘るだけで怪しげな
 挙動が非常に多くて、バグハンター諸氏が楽しめ
 そうな気配がある 22
  22. 22. window.close()

×