今日から始めるXSS

OK
今日から始めるXSS
ばりかた勉強会
2014/10/04(土)
@llamakko_cafe

らまっこ（Llamakko)
• @llamakko_cafe
• 見習いバグハンター
• XSSの脆弱性が大好き
• XSS歴4ヶ月
• http://xss.wiki/
• セキュリティキャンプ全国大会2014卒業生
自己紹介

• Cross Site Scriptingの略
• Webページの欠陥（脆弱性）を利用して、ス
クリプトを注入する攻撃のこと
• セッションハイジャック、フィッシングなどに
利用される
XSSとは

• XSSと仲良くなる方法
• XSSを見つけるコツ
• 脆弱性報告の仕方
• まとめ
今日のお話

1. XSSに興味を持つ
2. XSSのことを知る
3. XSSのことをもっと知る
4. XSSのことをもっともっと知る
XSSと仲良くなる方法

自分の場合...
• 脆弱性報奨金制度の対象
→お金が稼げるかも
• 様々な脆弱性の中でも発見数が凄く多い
→自分でも見つけられるかも
どうやればXSSって出来るんだろう？
XSSに興味を持つ

自分の場合...
• XSS やり方 [検索]
→基本的なXSSの手法を知る
• ローカル環境で実際にXSSを試してみる
→XSSの仕組みを知る
XSSのことをもっと知りたい！
XSSのことを知る

自分の場合...
• XSS Cheat Sheetを見る
→様々なXSSのアプローチを知る
• XSSerのサイトやブログを見る
→様々なXSSの手法を知る
XSSのことをもっともっと知りたい！
XSSのことをもっと知る

自分の場合...
• XSSの研究をする
→まだ誰も知らないXSSのことを知る
• 新たなXSSを求めてバグハンターになる
→報奨金も手に入ってとても嬉しい
気づいたらXSSのことを必死に追いかけていた
XSSのことをもっともっと知る

• とにかく手を動かす
• あとは経験と勘
XSSを見つけるコツ

• 「ここは怪しい」と思ったところには大抵変な
バグがあったりします
• そのバグをどのようにしてXSSに繋げるか
• XSS探しはパズルゲームのようなもの
• 全てのピースが合えばXSSは成功します
とにかく手を動かす

あとは経験と勘
あなたならどうやって
XSSを見つけますか？

回答例1
<script>alert(1)</script>

入力した文字列がどこかに出力される場合
• 通常
<p>サンプルテキスト</p>
• XSS
<p><script>alert(1)</script></p>

回答例2
“onclick=“alert(1)

入力した文字列がvalueに出力される場合
• 通常
<input value=“サンプルテキスト”>
• XSS
<input value=“”onclick=“alert(1)”>

XSSを知っている人は
すぐに浮かんだはずです

これが経験と勘です

• 実際に試したことは意外と覚えている
• 逆に実際に試さないとあまり覚えません
• 経験は手を動かせば動かすほど身につく
• 勘は経験から生まれるもの

脆弱性報告の仕方
XSSを見つけたら
脆弱性報告！

脆弱性報告を
したことはありますか？

簡単な脆弱性報告の例
1. 脆弱性を発見する
2. 本当に脆弱性なのか検証をする
3. 再現方法などを文章にする
4. その文章をメールで送信
5. 修正を待つ

あなたの脆弱性報告は
本当に伝わってますか？

伝わっていない脆弱性報告の例
• 聞き返される
• 再現できないと言われる
• 脆弱性なのに脆弱性ではないと言われる
• いくら待っても修正されない

→文章が分かりにくい
A.分かりやすい文章にする

→再現方法を詳細に書いていない
A.可能な限り再現方法を詳細に書く

→起こりうる脅威を説明できていない
A.起こりうる脅威について書く

→個人からの報告なので相手にされていない？
A.IPAを経由して報告をする

伝わりやすい脆弱性報告の例
• 分かりやすい文章
• 再現方法を詳細に書く
• 起こりうる脅威について書く
• 脆弱性報告専用の窓口がないときはIPAを経由
して報告

• XSSに興味を持ったらとことん追求する
• たくさん手を動かして経験と勘を身につける
• 正しい脆弱性報告をする
まとめ

ご清聴
ありがとうございました

Recomendados