「ãƒãƒƒã‚ング・ラボã®ã¤ãã‚Šã‹ãŸ 完全版 仮想環境ã«ãŠã‘ã‚‹ãƒãƒƒã‚«ãƒ¼ä½“験å¦ç¿’ã€ã¨ã€Œä½“系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ 第2版 脆弱性ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–ã®å®Ÿè·µã€ï¼ˆé€šç§°ï¼šå¾³ä¸¸æœ¬ï¼‰ã‚’å‚考ã«ã€ã‚»ã‚ュリティã®å‹‰å¼·ã‚’進ã‚ã¦ã„ã¾ã™ã€‚
å‰å›žã¯ã€ä»¥å‰ ã«è¡Œã£ãŸ OWASP ZAP ã®è‡ªå‹•è„†å¼±æ€§ã‚¹ã‚ャンã®çµæžœã®ã€Œãƒ‘ストラãƒãƒ¼ã‚µãƒ«ã€ã«ã¤ã„ã¦ã€åˆ†æžã¨å¯¾ç–ã¾ã§ã‚„ã‚Šã¾ã—ãŸã€‚
今回ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)を見ã¦ã„ãã¾ã™ã€‚
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
※2024/8/16:全体を書ãç›´ã—
当åˆã®è¨˜äº‹ã¯ã€XSS(DOMベース)を勘é•ã„ã—ã¦ã„ãŸã®ã§ã€å…¨é¢çš„ã«æ›¸ãç›´ã—ã¾ã—ãŸã€‚
å‚考文献
ã¯ã˜ã‚ã«
「セã‚ュリティã€ã®è¨˜äº‹ä¸€è¦§ã§ã™ã€‚良ã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ãã ã•ã„。
ã‚»ã‚ュリティã®è¨˜äº‹ä¸€è¦§
徳丸本ã®ç’°å¢ƒæ§‹ç¯‰ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬9回ã§ã‚„ã‚Šã¾ã—ãŸã€‚
daisuke20240310.hatenablog.com
ã¾ãŸã€å¾³ä¸¸æœ¬ãŒç”¨æ„ã—ã¦ãã‚Œã¦ã„ã‚‹ã€è„†å¼±ãªã‚¢ãƒ—リケーション Bad Todo ã®æº–å‚™ã«ã¤ã„ã¦ã¯ã€ä»¥ä¸‹ã®ç¬¬12回ã§ã‚„ã‚Šã¾ã—ãŸã€‚今回ã¯ã€ã“ã®ç’°å¢ƒã‚’使ã£ã¦ã‚„ã£ã¦ã„ãã¾ã™ã€‚
daisuke20240310.hatenablog.com
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®æ¤œå‡ºçµæžœã®ç¢ºèªï¼ˆReflected)
ã¾ãšã€å…ˆé ã«ã‚ã‚‹åå°„åž‹ã®ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®æ¤œå‡ºã«ã¤ã„ã¦è¦‹ã¦ã„ãã¾ã™ã€‚GET 㨠POST ã®2件ãŒã‚ã‚Šã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®åˆ†æžï¼ˆGET)
GETリクエストã®æ–¹ã®æŒ‡æ‘˜å†…容を見ã¦ã¿ã¾ã™ã€‚
XSS(Reflected)ã®GETã®è„†å¼±æ€§
以下ã®æ¤œç´¢ãƒœãƒƒã‚¯ã‚¹ã§ã€é©åˆ‡ãªã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒè¡Œã‚ã‚Œã¦ã„ãªã„ãŸã‚ã€ä»»æ„ã®ã‚¹ã‚¯ãƒªãƒ—トãŒå®Ÿè¡Œã§ãã‚‹ã¨ã„ã†ã‚‚ã®ã®ã‚ˆã†ã§ã™ã€‚
指摘対象ã®æ¤œç´¢ãƒœãƒƒã‚¯ã‚¹
å•é¡Œã® todolist.php ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã®æŠœç²‹ã¯ä»¥ä¸‹ã§ã™ã€‚
$key ã«ã¯ã€æ¤œç´¢ãƒœãƒƒã‚¯ã‚¹ã«å…¥åŠ›ã•ã‚ŒãŸæ–‡å—列ãŒå…¥ã‚Šã¾ã™ã€‚確ã‹ã«ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒè¡Œã‚ã‚Œãšã«ã€ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã¦ã‚‹ã®ã¨ã€æ¤œç´¢ãƒœãƒƒã‚¯ã‚¹ã® value ã«è¨å®šã—ã¦ã„ã¾ã™ã€‚å‰è€…ã¯ã€SQLインジェクションã®å¯¾ç–ã«ãªã‚‹ã®ã§ã€ã“ã“ã§ã¯å¾Œè€…ã«ã¤ã„ã¦å†ç¾ã¨å¯¾ç–ã‚’ã—ã¦ã„ãã¾ã™ã€‚
<?php
require_once('./common.php');
$id = $user->get_id();
if (empty($id))
$id = -1;
$reqid = filter_input(INPUT_GET, 'id');
$key = filter_input(INPUT_GET, 'key');
if (empty($reqid))
$reqid = -1;
try {
$dbh = dblogin();
$sql = "SELECT todos.id, users.userid, todo, c_date, due_date, done, org_filename, real_filename, public FROM todos INNER JOIN users ON users.id=todos.owner AND (todos.owner=? OR ?) AND (todos.owner = ? OR todos.public > 0 OR ? > 0)";
if (! empty($key)) {
$sql .= " AND todo LIKE '%$key%'";
}
$sth = $dbh->prepare($sql);
$sth->execute(array($reqid, $reqid < 0, $id, $user->is_super()));
?><html>
<head>
<link rel="stylesheet" type="text/css" href="css/common.css">
<script src="../js/jquery-1.8.3.js"></script>
<title>一覧</title>
</head>
<body>
<div id="top">
<?php $menu = 1; require "menu.php"; ?>
<div id="search">
<form action="" method="get">
<input type="text" name="key" value="<?php echo $key; ?>">
<input type="submit" value="検索">
</form>
</div>
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®å†ç¾ï¼ˆGET)
実際ã«ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒç„¡ã„ã¨ã€ã©ã†ãªã‚‹ã‹ã‚’ã‚„ã£ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
書ç±ã§ã‚‚紹介ã•ã‚Œã¦ã„ã‚‹ XSS ã®æ”»æ’ƒæ–¹æ³•ã‚’試ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚
検索ボックスã«ã€"><script>alert(document.cookie)</script> を入力ã—ã¾ã™ã€‚ã“ã‚Œã¯ã€input ã®ã‚¿ã‚°ã‚’終了ã•ã›ã¦ã€JavaScript ã‚’è¿½åŠ ã—ã¦ã„ã¾ã™ã€‚入力ã—ãŸã‚‰ã€æ¤œç´¢ãƒœã‚¿ãƒ³ã‚’クリックã—ã¾ã™ã€‚
Cookie ã®å†…容ãŒè¡¨ç¤ºã•ã‚Œã¾ã—ãŸã€‚脆弱性ã®å†ç¾ãŒå‡ºæ¥ã¾ã—ãŸã€‚
XSS攻撃ãŒæˆåŠŸã—ãŸ
ã“ã‚Œã ã‘ã ã¨ã€è‡ªåˆ†ã® Cookie ã®å€¤ãŒè¦‹ã‚Œã‚‹ã ã‘ãªã®ã§ã€ã‚ã‚“ã¾ã‚Šæ„味ã¯ã‚ã‚Šã¾ã›ã‚“ãŒã€æ›¸ç±ã«æ›¸ã‹ã‚Œã¦ã„るよã†ã«ã€ç½ サイトã«èª˜å°Žã™ã‚‹ãªã©ã¨ã€çµ„ã¿åˆã‚ã›ã‚‹ã“ã¨ã§ã€ä»–者ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ID ã‚’å–å¾—ã§ããŸã‚Šã™ã‚‹ã‚ˆã†ã§ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®å¯¾ç–(GET)
ã¨ã«ã‹ãã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒç„¡ã„ã“ã¨ãŒå•é¡Œã ã¨æ€ã†ã®ã§ã€å¯¾ç–ã—ã¦ã¿ã¾ã™ã€‚
PHP ã§ã¯ã€htmlspecialchars関数を使ã£ã¦ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒè¡Œãˆã¾ã™ã€‚common.php ã« htmlspecialchars関数ãŒç°¡å˜ã«ä½¿ãˆã‚‹ãƒ©ãƒƒãƒ‘ー関数ãŒç”¨æ„ã•ã‚Œã¦ã„ã¾ã™ï¼ˆä»¥ä¸‹ã¯ã€common.php ã® e関数)ãŒã€echo ãŒå…¥ã£ã¦ã‚‹ã®ã§ã€ã“ã“ã§ã¯ä½¿ã„ã«ãã„ã§ã™ã€‚
function e($s)
{
echo htmlspecialchars($s, ENT_QUOTES, 'UTF-8');
}
htmlspecialchars関数を使ã£ãŸ XSS ã®å¯¾ç–ã¯ä»¥ä¸‹ã§ã™ã€‚
--- todo.org/todolist.php 2018-08-16 12:03:14.000000000 +0900
+++ todo.change/todolist.php 2024-08-16 19:40:02.000000000 +0900
@@ -27,7 +27,7 @@
<?php $menu = 1; require "menu.php"; ?>
<div id="search">
<form action="" method="get">
- <input type="text" name="key" value="<?php echo $key; ?>">
+ <input type="text" name="key" value="<?php echo htmlspecialchars($key); ?>">
<input type="submit" value="検索">
</form>
</div>
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®åˆ†æžï¼ˆPOST)
次ã«ã€POSTリクエストã®æ–¹ã‚’見ã¦ã¿ã¾ã™ã€‚logindo.php ã«ã‚‚ XSS ã®è„†å¼±æ€§ãŒã‚るよã†ã§ã™ã€‚
XSS(Reflected)ã®POSTã®è„†å¼±æ€§
ç¾åœ¨ã® logindo.php ã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã§ã™ã€‚
3ã¤ã®å…¥åŠ›ãŒã‚ã‚Šã¾ã™ãŒã€ã„ãšã‚Œã‚‚エスケープ処ç†ãŒã‚ã‚Šã¾ã›ã‚“。
<?php
require_once './common.php';
if (! isset($_POST['userid']) || ! isset($_POST['pwd']) || ! isset($_POST['url'])) {
exit;
}
error_log("userid=" . $_POST['userid'] . ", pwd=" . $_POST['pwd'] . ", url=" . $_POST['url']);
try {
$dbh = dblogin();
$userid = filter_input(INPUT_POST, 'userid');
$pwd = substr($_POST['pwd'], 0, 6);
$url = filter_input(INPUT_POST, 'url');
$sql = "SELECT id, userid FROM users WHERE userid='$userid'";
$sth = $dbh->query($sql);
$row = $sth->fetch(PDO::FETCH_ASSOC);
$sth = null;
if (! empty($row)) {
$sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'";
$sth = $dbh->query($sqlstm);
$row = $sth->fetch(PDO::FETCH_ASSOC);
if (! empty($row)) {
$_SESSION['login'] = true;
$user = new User($row['id'], $userid, $row['super']);
setcookie('USER', serialize($user), 0, '/');
header('Location: ' . $url . '?' . SID);
} else {
e("パスワードãŒé•ã„ã¾ã™");
exit;
}
} else {
e("ãã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã¯ç™»éŒ²ã•ã‚Œã¦ã„ã¾ã›ã‚“");
exit;
}
} catch (PDOException $e) {
die('接続ã«å¤±æ•—ã—ã¾ã—ãŸ: ' . $e->getMessage());
}
?><body>
ãƒã‚°ã‚¤ãƒ³æˆåŠŸã—ã¾ã—ãŸ<br>
自動的ã«é·ç§»ã—ãªã„å ´åˆã¯ä»¥ä¸‹ã®ãƒªãƒ³ã‚¯ã‚’クリックã—ã¦ä¸‹ã•ã„。
<a href="<?php echo "$url?" . SID; ?>">todo一覧ã«é·ç§»</a>
</body>
1点目ã¯ã€$sql = "SELECT id, userid FROM users WHERE userid='$userid'"; ã®ã¨ã“ã‚ã§ã™ã€‚ãŠãらãã€ã“ã“ã§ä»Šå›žã®æŒ‡æ‘˜ã¯å‡ºã¦ãã†ã§ã™ã€‚ã“ã®å¯¾ç–ã¯ã€SQLインジェクションã®å¯¾ç–ã«ãªã‚Šãã†ãªã®ã§ã€æ¬¡å›žã«å¯¾å¿œã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚
2点目ã¯ã€$sqlstm = "SELECT id, userid, super FROM users WHERE userid='$userid' AND pwd='$pwd'"; ã§ã€ã“ã¡ã‚‰ã‚‚ã€SQLインジェクションã®å¯¾ç–ã«ãªã‚Šãã†ã§ã™ã€‚
3点目ã¯ã€<a href="<?php echo "$url?" . SID; ?>">todo一覧ã«é·ç§»</a> ã§ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒã‚ã‚Šã¾ã›ã‚“ãŒã€æŒ‡æ‘˜ã‚‚出ã¦ãªã„よã†ã§ã™ã€‚ã“ã“ã®å†ç¾ã‚’ã‚„ã£ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®å†ç¾ï¼ˆPOST)
å˜ç´”ã«ã‚„ã£ã¦ã¿ã¦ã‚‚å†ç¾ã§ãã¾ã›ã‚“ã§ã—ãŸã€‚ãƒã‚°ã‚¤ãƒ³ã¯ã€ãƒã‚°ã‚¤ãƒ³å‡¦ç†ãŒçµ‚ã‚ã‚‹ã¨ã€Todo ã®ä¸€è¦§ã¸ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã—ã¦ã„ã‚‹ãŸã‚ã§ã™ã€‚alert関数ãŒå®Ÿè¡Œã•ã‚Œãšï¼ˆå®Ÿè¡Œã•ã‚ŒãŸã‘ã©ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã•ã‚Œã¦åˆ†ã‹ã‚‰ãªã„ã ã‘?)ã€Todo ã®ä¸€è¦§ã«é·ç§»ã—ã¦ã—ã¾ã„ã¾ã—ãŸã€‚
ãã“ã§ã€å†ç¾ã‚’確èªã™ã‚‹ãŸã‚ã€header('Location: ' . $url . '?' . SID); をコメントアウトã™ã‚‹ã“ã¨ã«ã—ã¾ã—ãŸã€‚
å°‘ã—å°ç´°å·¥ã‚’ã—ã¾ã—ãŸãŒã€å®Ÿéš›ã«å†ç¾ã•ã›ã¦ã¿ã¾ã™ã€‚
ã¾ãšã€å†ç¾ã•ã›ã‚‹ãŸã‚ã€ãƒã‚°ã‚¤ãƒ³ã—ã¦ã„ã‚‹å ´åˆã¯ã€ã„ã£ãŸã‚“ãƒã‚°ã‚¢ã‚¦ãƒˆã—ã¾ã™ã€‚ãƒã‚°ã‚¤ãƒ³ç”»é¢ã«é·ç§»ã•ã›ã¦ã€id ã¨ãƒ‘スワードを入力ã—ã€Burp Suite 㧠Intercept を有効ã«ã—ã¦ã€ãƒã‚°ã‚¤ãƒ³ãƒœã‚¿ãƒ³ã‚’クリックã—ã¾ã™ã€‚
ã™ã‚‹ã¨ã€POSTリクエストãŒé€ä¿¡ã•ã‚Œã‚‹å‰ã«ã€Burp Suite ãŒæ¢ã‚ã¦ãã‚Œã¾ã™ã€‚POST ã™ã‚‹ãƒ‡ãƒ¼ã‚¿ã‚’以下ã®ã‚ˆã†ã«æ›¸ãæ›ãˆã¾ã™ã€‚ã‚‚ã¨ã‚‚ã¨ã¯ã€userid=daisuke&pwd=useruser&url=todolist.php ã§ã—ãŸã€‚書ãæ›ãˆãŒã§ããŸã‚‰ã€Forwardボタンをクリックã—ã¾ã™ã€‚
GETリクエストを改変ã™ã‚‹
ã™ã‚‹ã¨ã€ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã¯ç„¡åŠ¹åŒ–ã—ãŸã®ã§ã€Cookie ã®å€¤ãŒè¡¨ç¤ºã•ã‚Œã€å†ç¾ã™ã‚‹ã“ã¨ãŒã§ãã¾ã—ãŸã€‚
XSSã®å†ç¾
ã¨ã„ã†ã‚ã‘ã§ã€ã“ã“ã®ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ãŒç„¡ã‹ã£ãŸéƒ¨åˆ†ã«ã¤ã„ã¦ã€OWASP ZAP ãŒæŒ‡æ‘˜ã—ãŸã‚ã‘ã§ã¯ãªã„ã§ã™ãŒã€å•é¡Œéƒ¨åˆ†ã¨ã„ã†ã“ã¨ã§ä¿®æ£ã‚’è¡Œã„ãŸã„ã¨æ€ã„ã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)ã®è„†å¼±æ€§ã®å¯¾ç–(POST)
ã§ã¯ã€å¯¾ç–ã—ã¾ã™ã€‚ä¿®æ£ç‚¹ã¯ä»¥ä¸‹ã§ã™ã€‚
--- todo.org/logindo.php 2018-08-15 15:29:23.000000000 +0900
+++ todo.change/logindo.php 2024-08-14 22:20:21.000000000 +0900
@@ -1,5 +1,8 @@
<?php
require_once './common.php';
+ if (! isset($_POST['userid']) || ! isset($_POST['pwd']) || ! isset($_POST['url'])) {
+ exit;
+ }
try {
$dbh = dblogin();
$userid = filter_input(INPUT_POST, 'userid');
@@ -33,5 +36,5 @@
?><body>
ãƒã‚°ã‚¤ãƒ³æˆåŠŸã—ã¾ã—ãŸ<br>
自動的ã«é·ç§»ã—ãªã„å ´åˆã¯ä»¥ä¸‹ã®ãƒªãƒ³ã‚¯ã‚’クリックã—ã¦ä¸‹ã•ã„。
-<a href="<?php echo "$url?" . SID; ?>">todo一覧ã«é·ç§»</a>
+<a href="<?php echo e("$url?" . SID); ?>">todo一覧ã«é·ç§»</a>
</body>
自動脆弱性スã‚ャンã®å†å®Ÿè¡Œ
ã§ã¯ã€è‡ªå‹•è¨ºæ–を実行ã—ã¦ã¿ã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(Reflected)㮠GET ã®æ–¹ã¯ã€æŒ‡æ‘˜ã•ã‚Œãªã„よã†ã«ãªã‚Šã¾ã—ãŸã€‚POST ãŒæ®‹ã£ã¦ã—ã¾ã£ã¦ã„ã¾ã™ãŒã€ã“ã®ã¨ãã¯ã‚¢ãƒ©ãƒ¼ãƒˆã‚’クリアã—忘れãŸã‹ã‚‰ãªã®ã‹ã€æ¬¡ã«å†è¨ºæ–ã‚’è¡Œã£ãŸçµæžœã‚’見る㨠POST ã®æ–¹ã‚‚指摘ã•ã‚Œãªããªã£ã¦ã„ã¾ã—ãŸã€‚
OWASP ZAPã®è‡ªå‹•è„†å¼±æ€§ã‚¹ã‚ャンã®çµæžœ
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®æ¤œå‡ºçµæžœã®ç¢ºèªï¼ˆDOMベース)
次ã¯ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã€ã‚’見ã¦ã„ãã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã®è„†å¼±æ€§ã®åˆ†æž
3件ã®æŒ‡æ‘˜ãŒä¸ŠãŒã£ã¦ã„ã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã®æŒ‡æ‘˜
徳丸本ã®èª¬æ˜Žã‚’èªã‚€ã¨ã€XSS ã® DOMベースã¯ã€JavaScript ã«åŽŸå› ãŒã‚る脆弱性ã¨ã®ã“ã¨ã§ã™ã€‚todolist.php ã® JavaScript を見ã¦ã„ãã¾ã™ã€‚
1ã¤ç›®ã®é–¢æ•°ã€ŒcheckOrClearAll()ã€ã¯ã€Todoリスト(表)ã®ã‚¿ã‚¤ãƒˆãƒ«ã«ã‚ã‚‹ãƒã‚§ãƒƒã‚¯ãƒœãƒƒã‚¯ã‚¹ã«åå¿œã™ã‚‹é–¢æ•°ã§ã€å…¨ä½“ã‚’ãƒã‚§ãƒƒã‚¯ON ã«ã—ãŸã‚Šã€ãƒã‚§ãƒƒã‚¯OFF ã«ã—ãŸã‚Šã§ãã¾ã™ã€‚
2ã¤ç›®ã®é–¢æ•°ã€Œcheck()ã€ã¯ã€ãªã‹ãªã‹é›£ã—ãã€ã¡ã‚ƒã‚“ã¨èª¬æ˜Žã§ãã¾ã›ã‚“ãŒã€ã“ã® todolist.php ã«å¯¾ã—ã¦ã€#(ãƒãƒƒã‚·ãƒ¥ã€ãƒšãƒ¼ã‚¸å†…リンク)を付ã‘ã¦å‘¼ã³å‡ºã™ï¼ˆä¾‹ï¼šhttps://example.jp/todo/todolist.php?#all)ã¨ã€å¯¾è±¡ã® Todo ãŒãƒã‚§ãƒƒã‚¯ON ã«ãªã‚‹ã¨ã„ã†æ©Ÿèƒ½ã§ã™ã€‚例ã®ã‚ˆã†ã«ã€#all ã§ãƒšãƒ¼ã‚¸ã‚’é–‹ãã¨ã€ç¾åœ¨ã®å…¨ã¦ã® Todo ã®ãƒã‚§ãƒƒã‚¯ãŒ ON ã«ãªã‚Šã¾ã™ã€‚
3ã¤ç›®ã®é–¢æ•°ã¯ã€ã‚ã¾ã‚Šåˆ†ã‹ã£ã¦ãªã„ã®ã§ã™ãŒã€ãƒšãƒ¼ã‚¸å†…ã§ãƒãƒƒã‚·ãƒ¥ãŒå¤‰æ›´ã•ã‚ŒãŸå ´åˆã¯ã€window.addEventListener("hashchange", check, false); ãŒåå¿œã—ã¦ã€ãƒã‚§ãƒƒã‚¯ãŒå¤‰åŒ–ã—ã€3ã¤ç›®ã®é–¢æ•°ã¯ã€æœ€åˆã«ã“ã®ãƒšãƒ¼ã‚¸ãŒãƒãƒ¼ãƒ‰ã—ãŸã¨ãã«åå¿œã™ã‚‹ãŸã‚ã®é–¢æ•°ã‹ãªã€ã¨æ€ã„ã¾ã™ã€‚
<script>
window.addEventListener("hashchange", check, false);
function checkOrClearAll(checkbox) {
$('input[name="id[]"]').prop('checked', checkbox.checked);
}
function check() {
var checklist = decodeURIComponent (location.hash.slice(1));
if (checklist === 'all') {
$('input[name="id[]"]').prop('checked', true);
} else {
var a = checklist.split(',');
a.map(function(id) {
$('input[name="id[]"][value="' + id + '"]').prop('checked', true);
});
}
}
$(function() {
check();
});
</script>
ç†è§£ã¯å分ã§ã¯ãªã„ã§ã™ãŒã€è‡ªå‹•ã‚¹ã‚ャンã®æŒ‡æ‘˜ã®ã‚ˆã†ã«ã€https://example.jp/todo/todolist.php#<img src='random.gif' onerror=alert(5397)> ã‚’ URL ã¨ã—ã¦æŒ‡å®šã™ã‚‹ã¨ã€ä»»æ„ã® JavaScript ãŒå®Ÿè¡Œã§ãã‚‹ã¨ã„ã†ã“ã¨ã ã¨æ€ã„ã¾ã™ã€‚
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã®è„†å¼±æ€§ã®å†ç¾
ã§ã¯ã€å®Ÿéš›ã«ãƒ–ラウザã«ã€ä¸Šã®ã‚ˆã†ãªã‚¢ãƒ‰ãƒ¬ã‚¹ã‚’直接è¨å®šã—ã¦å†ç¾ã•ã›ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
alert関数ãŒå®Ÿè¡Œã•ã‚Œã¾ã—ãŸã€‚å†ç¾ã§ããŸã‚ˆã†ã§ã™ã€‚
XSS(DOMベース)ã®è„†å¼±æ€§ã®å†ç¾
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã®è„†å¼±æ€§ã®å¯¾ç–
対ç–ã¨ã—ã¦ã¯ã€ã‚„ã¯ã‚Šã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ã‚’è¡Œã†ã“ã¨ã«ãªã‚Šã¾ã™ã€‚JavaScript ã«ã¯ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ã‚’è¡Œã†é–¢æ•°ã¯ç”¨æ„ã•ã‚Œã¦ãªã„ã‹ã‚‰ãªã®ã‹ã€å¾³ä¸¸æœ¬ã§ã¯ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ã‚’実装ã—ãŸé–¢æ•°ã‚’æä¾›ã—ã¦ãã‚Œã¦ã„ã¾ã™ã€‚
以下ã¯ã€ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã® 4h/4h-002a.html ã§ã™ã€‚
<body>
アクセス解æžã‚µãƒ³ãƒ—ル
<script>
function escape_html(s){
return s.replace(/&/g, "&")
.replace(/</g, "<")
.replace(/>/g, "> ")
.replace(/"/g, """)
.replace(/'/g, "'");
}
var url = decodeURIComponent(location.href);
document.write('<img src="http://api.example.net/4h/4h-003.php?' + escape_html(url) + '">');
</script>
</body>
ã“ã®é–¢æ•°ã‚’使ã‚ã›ã¦ã‚‚らã†ã“ã¨ã«ã—ã¾ã™ã€‚
以下ãŒä¿®æ£å†…容ã«ãªã‚Šã¾ã™ã€‚エスケープ処ç†ã‚’ã—ãŸå¤‰æ•°ã‚’使ã†ã‚ˆã†ã«ã—ã¾ã—ãŸã€‚
--- todo.org/todolist.php 2018-08-16 12:03:14.000000000 +0900
+++ todo.change/todolist.php 2024-08-16 21:09:50.000000000 +0900
@@ -27,7 +27,7 @@
<?php $menu = 1; require "menu.php"; ?>
<div id="search">
<form action="" method="get">
- <input type="text" name="key" value="<?php echo $key; ?>">
+ <input type="text" name="key" value="<?php echo htmlspecialchars($key); ?>">
<input type="submit" value="検索">
</form>
</div>
@@ -89,8 +89,17 @@
$('input[name="id[]"]').prop('checked', checkbox.checked);
}
+function escape_html(s){
+ return s.replace(/&/g, "&")
+ .replace(/</g, "<")
+ .replace(/>/g, "> ")
+ .replace(/"/g, """)
+ .replace(/'/g, "'");
+}
+
function check() {
var checklist = decodeURIComponent (location.hash.slice(1));
+ checklist = escape_html(checklist);
if (checklist === 'all') {
$('input[name="id[]"]').prop('checked', true);
} else {
自動脆弱性スã‚ャンã®å†å®Ÿè¡Œ
ã§ã¯ã€è‡ªå‹•è¨ºæ–を実行ã—ã¦ã¿ã¾ã™ã€‚クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(DOMベース)ã®3件ã®æŒ‡æ‘˜ãŒç„¡ããªã‚Šã¾ã—ãŸã€‚ãŸã ã€XSS(DOMベース)ã®æŒ‡æ‘˜ã¯ã€ä½•åº¦ã‹è‡ªå‹•è„†å¼±æ€§ã‚¹ã‚ャンをã—ã¦ã‚‹ã¨ã€å‡ºãŸã‚Šæ¶ˆãˆãŸã‚Šã™ã‚‹ã‚“ã§ã™ã‚ˆãã€ã€å°‘ã—é•·ã„ç›®ã§è¦‹ã‚‹å¿…è¦ãŒã‚ã‚Šãã†ã§ã™ã€‚
自動脆弱性スã‚ャンã®å†å®Ÿè¡Œ
ãŠã‚ã‚Šã«
今回ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®è„†å¼±æ€§ã«ã¤ã„ã¦ã€å†ç¾ã¨å¯¾ç–ã‚’è¡Œã„ã¾ã—ãŸã€‚当åˆã¯ã€DOMベースã®ç†è§£ãŒå‡ºæ¥ã¦ãŠã‚‰ãšã€ãŠã‹ã—ãªè¨˜äº‹ã«ãªã£ã¦ã„ã¾ã—ãŸãŒã€å…¨é¢çš„ã«æ›¸ãç›´ã—ã¾ã—ãŸã€ã™ã„ã¾ã›ã‚“。
次回ã¯ã€SQLインジェクションを見ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚
今回ã®è¨˜äº‹ã«ã¯ã‚ã¾ã‚Šé–¢ä¿‚ãªã„ã§ã™ãŒã€wasbook ã§ã¯ã€nginx 㨠apache ãŒä½¿ã‚ã‚Œã¦ã¾ã™ã€‚今回ã¯ã€apache ã®ãƒã‚´ã‚’使ã‚ã›ã¦ã„ãŸã ãã¾ã—ãŸã€‚ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚
最後ã«ãªã‚Šã¾ã—ãŸãŒã€ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã‚°ãƒ«ãƒ¼ãƒ—ã®ãƒ©ãƒ³ã‚ングã«å‚åŠ ä¸ã§ã™ã€‚
気楽ã«ãƒãƒãƒƒã¨ã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ðŸ™‡
今回ã¯ä»¥ä¸Šã§ã™ï¼
最後ã¾ã§ãŠèªã¿ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
