趣味と少しだけ実益のクロスサイトスクリプティング発見につながるかもしれない最近のお話   1 comment

Posted at 2:30 pm in computer,internet,Security,日記

こんにちは。月1更新を目指して今月も何か書こうと思います。
相変わらず、twitterまとめまとめやハッカージャパンには原稿を書かせていただいていますので、そちらの方でお目にかかっている方もいるかと思います。

今日は、このところたくさん見つけてしまい、おかげでちょっとだけ恩恵に預かった(ありがとうございます)クロスサイトスクリプティング脆弱性についてちょっとだけ書かせていただこうかと思いますがその前に、last.fmさま1年分の無料使用権ありがとうございます。expansysさま割引きありがとうございます。有効に使わせていただきます。あといくつかの会社の方、ごちそうさま。

last.fmのXSS

 

ということでXSSを見つけることについて書こうかと思ったのですが、その前に何で今更XSSを見つける意味というか意義というかについて書かせていただこうかと思います。XSSなんて10年くらい前に流行ったのに今何故?という疑問をお持ちの方も多いと思いますが、まあ世の中そんなもので、ちっとも減ってない、むしろ増えてんじゃねという印象すらあります。増えてるというか、昔のようにガンダム占いでおまえのガンダムは… とかいいつつ好きな画像を表示させて遊ぶことですら脆弱性となりそうな世の中なのでその頃よりはいくぶんより世知辛くなって判定基準が厳しくなっているからなのかもしれません。インターネット怖いですね。

それはともかく。

・短縮URLこわい

最近では短縮URLというものが流行っており、twitterやfacebookにこれを載せておくことで何も考えずにクリックしてくれる間抜け素直な人がたくさんいて、
http://bogus.jp/nl/voetbal/rodeduivels/?Article_ID=43484–%3E%3Cscript%3Ealert%280%29%3C/script%3E

みたいな普通なら怪しまれること請け合いのURLでも、http://bitly/bogus とかにすると簡単にクリックしてくれるようになりました。
これによって、これまでなら面倒かつ変なURLをクリックさせる必要があった、POSTメソッドしか使えないXSSのあるサイトを使い攻撃するにも、この短縮URLをクリックさせることで、簡単にPOSTリクエストを送信させることが可能になっています。

で、何が起こるかというと、アカウントの乗っ取りですね。

ある日、自分のアカウントを他人が使ってるわけですね。
怖いですね。

 

・Webの書き換え怖い

そして、もう1つ。
日本ではそれほどでもないのですが、海外ではWebサイトを書き換えることが流行っているようで、書き換えて何をするかというと、最近では政治的なアピールをしていることが多いようです。で、どのような手口が使われているかというと

https://www.ozawa.jp/keijiban/s8_b.php3?b_id=25&d_order=1%22%3E%3Cbr%3E%3Cimg+src%3D%22http%3A%2F%2Fwww.hatoyama.gr.jp%2Fimages%2Fflash.jpg%22%3E%3C%22

みたいに、XSS脆弱性を持ったWebサイトにタグを埋め込んで、そこにアクセスさせて書き換えてやったヒャッハー!みたいなかんじのものが多いです。

go.jpドメインは狙われやすい気がする

 

冷静に考えればこのURLにアクセスしなかったらいいわけで、Webサイトを乗っ取ったり、DNSを書き換えたりすることに比べると、非常に稚拙でこけおどし的な手口なんだと思いますが、twitterなんかで短縮URLをまき散らすことで、こんなことでも世間的には書き換えられたと思われたりしてるわけです。アクセスした先のURLのドメイン名見たらそこの団体な訳ですからね。

うちみたいな個人サイトが書き換えられても、(そこだけ見ると)大した問題ではないのですが、こういうのは政治家だったり政府だったり企業だったり書き換えられることに意味があるから攻撃されているわけです。なので企業や政府機関なんかは自分たちは機密情報持ってないから大丈夫だと高をくくらないできちんと対策していただきたいものです。

もちろん書き換え以外にもリダイレクトでフィッシングサイトに飛ばされる危険もあって、そっちの方も大変だったりするわけですけどね。

とここまで書いて疲れたので今日はここまで。

実際にどうやって攻撃されるのかとかはまた気が向いたら書くかもしれませんが時間もないのでこのへんで。ではノシ

————————-

・なんで今さらこんなこと書くの?

今月ちょっと探しただけで10個以上見つかったからorz

・どうやって見つけるの?

google先生…

・対策は?

徳丸本(体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践)買えばいいと思います。

Written by bogus on 3月 23rd, 2012

Tagged with