ウェブアプリのセキュリティ - XSSの脆弱性

ルカシュ・コルコ

XSS攻撃は、攻撃者が他のユーザが閲覧するウェブページにクライアント側のスクリプトを注入することを可能にします。この脆弱性の主な影響は、ログインしているユーザーのコンテキストで任意のアクションを実行される可能性と、ログインしているユーザーのコンテキストで任意のデータを読み取られる可能性です。

攻撃シナリオ

攻撃者は、被害者が利用しているウェブサイト（例えば銀行のウェブサイト）にXSS脆弱性があることを突き止める。
被害者は現在このページにログインしている
攻撃者は被害者に細工したURLを送る。
被害者はURLをクリックする。
被害者の銀行ウェブサイトをご覧ください、 JavaScript コードユーザーのデータを傍受したり、ユーザーの代わりに攻撃者の口座に送金を実行するために実行を開始する。

被害者に代わって実行される操作は、銀行のAPIを使ってバックグラウンドで行われるため、被害者には見えないかもしれないし、攻撃者が認証に必要なデータ、トークン、クッキーなどを使って後で実行するかもしれないことは注目に値する。

XSSタイプ

1.反射型XSS

これは、任意のパラメータ（GET、POST、クッキーなど）に含まれるHTML/JavaScriptコードがレスポンスに表示されるものです。

何かを検索するためのテキスト入力を持つページ。 検索=フー をURLの末尾に入力する。任意のフレーズを入力した後、それが見つからない場合は、HTML ex.にリターン・メッセージが配置される。

<div>の結果は見つかりませんでした。 <b>フー</b></div>

URLを入れてみよう ?search=。..

2.DOM XSS

これは、JavaScriptの以下のような危険な関数の使用によって、その実行が可能になった場合である。 評価 または `innerHtml`.以下の「ライブ例」は、DOM XSS 攻撃を `innerHtml` 関数である。

3.保存型XSS

これは、悪意のあるコードがサーバー側に書き込まれるものだ。例えば、サーバーにアップロードされたブログ記事に悪意のあるコードを含むコメントを送ることがある。そのタスクは、例えば、管理者のモデレーションを待ち、その後、管理者のセッションデータなどを盗むことである。

注入方法

1.タグの内容

onerror=alert('XSS')`。に

<img src onerror="alert('XSS')" />

2.属性の内容

onmouseover=alert('XSS')`」。に

<div class="" onmouseover="alert('XSS')""></div>

引用符を除いた属性の内容

x onclick=alert('XSS')に

<div class="x" onclick="alert('XSS')"></div>

の中で href = "/stock/stock_detail.html?ef属性

javascript:alert('XSS') に

<a href="javascript:alert('XSS')"></a>

JavaScriptコード内の文字列

";alert('XSS')// に

。

JavaScriptイベントを持つアトリビュートでは

');alert('XSS')// どこ #39； はシングルクォートである。

<div onclick="change('&#39;);alert('XSS')//')">ジョン</div>

の中で href = "/stock/stock_detail.html? 属性は、JavaScriptプロトコルの内部で

);alert(1)//。 どこ %27 はシングルクォートである。

<a href="javascript:change('');alert(1)//')">クリック</a>

実例

防衛方法

多くの組み込み関数を使用したデータエンコーディングプログラミング言語.
自動エンコーディングのテンプレートシステムを使う。このようなシステムを使う一般的なフレームワークのほとんどは、XSS インジェクションから私たちを守ってくれます (Django, Templates、 VueReactなど）。
のような関数は使用しないでください。 評価 または 機能 信頼されていないユーザーデータで
HTMLコードをDOMツリー要素に直接割り当てる関数やプロパティは使用しないでください、 インナーHTML, アウターHTML, 挿入隣接HTML, ドキュメント.write.代わりに、これらの要素に直接テキストを割り当てる関数を使用できます。 テキストコンテンツ または インナーテキスト.
ユーザーを自分の管理下にあるURLにリダイレクトさせる場合は注意が必要です。インジェクションのリスク location = 'javascript('XSS')'.
などのライブラリを使用してHTMLをフィルタリングする。 DOMピュリファイ.
アップロードは慎重に .html または .svg ファイルをアップロードすることができます。アップロードされたファイルを提供する別のドメインを作成できます。
を使用する。 コンテンツ・セキュリティ・ポリシー というメカニズムだ。
ほとんどの一般的なブラウザに組み込まれているアンチXSSフィルターを見てみましょう。
この記事に興味を持たれた方は、Githubでルカシュをフォローしてください： https://github.com/twistezo

続きを読む

NextJSのデータフェッチ戦略

Rails APIとCORS。意識

なぜ（おそらく）Typescriptを使うべきなのか？

ソフトウェア開発

将来を見据えたウェブ・アプリケーションの構築：The Codestのエキスパート・チームによる洞察

The Codestが、最先端技術を駆使してスケーラブルでインタラクティブなウェブアプリケーションを作成し、あらゆるプラットフォームでシームレスなユーザー体験を提供することにどのように秀でているかをご覧ください。The Codestの専門知識がどのようにデジタルトランスフォーメーションとビジネス...

ザ・コデスト