ウェブアプリのセキュリティ - XSSの脆弱性

ルカシュ・コルコ

XSS攻撃は、攻撃者が他のユーザが閲覧するウェブページにクライアント側のスクリプトを注入することを可能にします。この脆弱性の主な影響は、ログインしているユーザーのコンテキストで任意のアクションを実行される可能性と、ログインしているユーザーのコンテキストで任意のデータを読み取られる可能性です。

攻撃シナリオ

攻撃者は、被害者が利用しているウェブサイト（例えば銀行のウェブサイト）にXSS脆弱性があることを突き止める。
被害者は現在このページにログインしている
攻撃者は被害者に細工したURLを送る。
被害者はURLをクリックする。
被害者の銀行ウェブサイトをご覧ください、 JavaScript コードユーザーのデータを傍受したり、ユーザーの代わりに攻撃者の口座に送金を実行するために実行を開始する。

被害者に代わって実行される操作は、銀行のAPIを使ってバックグラウンドで行われるため、被害者には見えないかもしれないし、攻撃者が認証に必要なデータ、トークン、クッキーなどを使って後で実行するかもしれないことは注目に値する。

XSSタイプ

1.反射型XSS

これは、任意のパラメータ（GET、POST、クッキーなど）に含まれるHTML/JavaScriptコードがレスポンスに表示されるものです。

何かを検索するためのテキスト入力を持つページ。 検索=フー をURLの末尾に入力する。任意のフレーズを入力した後、それが見つからない場合は、HTML ex.にリターン・メッセージが配置される。

<div>の結果は見つかりませんでした。 <b>フー</b></div>

URLを入れてみよう ?search=。..

2.DOM XSS

これは、JavaScriptの以下のような危険な関数の使用によって、その実行が可能になった場合である。 評価 または `innerHtml`.以下の「ライブ例」は、DOM XSS 攻撃を `innerHtml` 関数である。

3.保存型XSS

これは、悪意のあるコードがサーバー側に書き込まれるものだ。例えば、サーバーにアップロードされたブログ記事に悪意のあるコードを含むコメントを送ることがある。そのタスクは、例えば、管理者のモデレーションを待ち、その後、管理者のセッションデータなどを盗むことである。

注入方法

1.タグの内容

onerror=alert('XSS')`。に

<img src onerror="alert('XSS')" />

2.属性の内容

onmouseover=alert('XSS')`」。に

<div class="" onmouseover="alert('XSS')""></div>

引用符を除いた属性の内容

x onclick=alert('XSS')に

<div class="x" onclick="alert('XSS')"></div>

の中で href = "/stock/stock_detail.html?ef属性

javascript:alert('XSS') に

<a href="javascript:alert('XSS')"></a>

JavaScriptコード内の文字列

";alert('XSS')// に

。

JavaScriptイベントを持つアトリビュートでは

');alert('XSS')// どこ #39； はシングルクォートである。

<div onclick="change('&#39;);alert('XSS')//')">ジョン</div>

の中で href = "/stock/stock_detail.html? 属性は、JavaScriptプロトコルの内部で

%27);alert(1)// どこ %27 はシングルクォートである。

<a href="javascript:change('%27);alert(1)//')">クリック</a>

実例

防衛方法

多くの組み込み関数を使用したデータエンコーディングプログラミング言語.
Using template systems with automatic encoding. Most of the popular frameworks that use such systems protect us from XSS injection (Django, Templates, VueReactなど）。
のような関数は使用しないでください。 評価 または 機能 信頼されていないユーザーデータで
HTMLコードをDOMツリー要素に直接割り当てる関数やプロパティは使用しないでください、 インナーHTML, アウターHTML, 挿入隣接HTML, ドキュメント.write.代わりに、これらの要素に直接テキストを割り当てる関数を使用できます。 テキストコンテンツ または インナーテキスト.
ユーザーを自分の管理下にあるURLにリダイレクトさせる場合は注意が必要です。インジェクションのリスク location = 'javascript('XSS')'.
などのライブラリを使用してHTMLをフィルタリングする。 DOMピュリファイ.
アップロードは慎重に .html または .svg ファイルをアップロードすることができます。アップロードされたファイルを提供する別のドメインを作成できます。
を使用する。 コンテンツ・セキュリティ・ポリシー というメカニズムだ。
ほとんどの一般的なブラウザに組み込まれているアンチXSSフィルターを見てみましょう。
この記事に興味を持たれた方は、Githubでルカシュをフォローしてください： https://github.com/twistezo

続きを読む

NextJSのデータフェッチ戦略

Rails APIとCORS。意識

なぜ（おそらく）Typescriptを使うべきなのか？

上昇する矢印とコスト効率や節約を象徴する金貨が描かれた減少する棒グラフの抽象的なイラスト。左上にはThe Codestのロゴと、ライトグレーの背景に "In Code We Trust "のスローガン。

ソフトウェア開発

製品の品質を落とさずに開発チームを拡大する方法

開発チームの規模を拡大中ですか？製品の品質を犠牲にすることなく成長する方法を学びましょう。このガイドでは、スケールする時期、チーム構成、採用、リーダーシップ、ツールなどの兆候に加え、The Codestがどのように...

ザ・コデスト

ソフトウェア開発

将来を見据えたウェブ・アプリケーションの構築：The Codestのエキスパート・チームによる洞察

The Codestが、最先端技術を駆使してスケーラブルでインタラクティブなウェブアプリケーションを作成し、あらゆるプラットフォームでシームレスなユーザー体験を提供することにどのように秀でているかをご覧ください。The Codestの専門知識がどのようにデジタルトランスフォーメーションとビジネス...

ザ・コデスト