alert(1)では、危険性がわからなかった人にも優しいXSS解説

XSSとは、攻撃者によって意図しないHTMLやJavaScriptを挿入される脆弱性です。

XSSを説明する際に、ローカルサーバーを立ち上げた後にブラウザ上でhttp://localhost:8080/?keyword=<script>alert(1)</script>にアクセスすると警告ダイヤルが表示される例を目にすることが多いと思います。

なるほど、危なさそうだ！と思いながら具体的な攻撃手法が思い浮かばずモヤモヤしていました。本記事では、このモヤモヤを解決するため攻撃方法を紹介します。絶対に、他者のサイトで実行しないで下さい。

$ php -v
PHP 7.1.32

$ php -S localhost:8080 -t `pwd`

<?php
  setcookie("email", "example@gmail.com", time()+3600, "/", "localhost", FALSE, FALSE);
?>

<body>
  <?php echo $_GET['keyword']; ?>
</body>

setcookieで設定されたクッキーは、document.cookieで取得できます。

setcookieで設定したCookie値はdocument.cookieの最後尾にあったので、汎用性がない方法ではありますがdocument.cookie.split(" ").slice(-1)[0]で取り出せます。

ここで、http://localhost:8080/?keyword=<script>alert(1)</script>をhttp://localhost:8080/?keyword=<script>alert(document.cookie.split(" ").slice(-1)[0])</script>に変更すると自分のCookie値が取り出せていることがわかります。

自分のCookie情報を取れたとしても、意味はありません。攻撃するのには、他者のCookie情報が必要なのです。

次に、Window.locationを紹介します。ドキュメントの中に、location = "http://www.mozilla.org";があります。これは、指定したURIに移動することできます。以下のように、実行すると当ブログのTOPページに移動することが確認できます。

http://localhost:8080/?keyword=<script>location="https://www.imaharutech.work"</script>

XSSがあるサイトでは、自サイトからlocationを利用してリダイレクトのようなことを行うことができます。

上記とdocument.cookieを組み合わせると他者のCookie値を抜き取ることができます。

つまり攻撃専用のダミーサイトを立ち上げ、srcやactionが利用できるHTMLタグを設置し攻撃サイトへCookie値を含んでリダイレクトさせるのです。

対策

HTTP Only

HttpOnlyを設定すると、 JavaScriptからクッキーの読み出しを禁止することができます。

<?php
  setcookie("email", "example@gmail.com", time()+3600, "/", "localhost", FALSE, TRUE); // HttpOnly: True
?>

<body>
  <?php echo $_GET['keyword']; ?>
</body>

TRACEメソッドの禁止

Http Onlyをするだけは、TRACEメソッドとXMLHttpRequestを組み合わせた攻撃に耐えることはできません。現在のブラウザでは、XMLHttpRequestからTRACEメソッドを実行することはできないようですがApacheを利用する場合、 TraceEnable Offの設定をしておくといいでしょう。

また、NginxはデフォルトでTRACEメソッドを許可していません。