水無月ばけらのえび日記

Short talk of XSS – 短いXSSの話

はせがわさんのお話。

とあるMSのサイトにあったXSS脆弱性、エラー表示をエスケープしていないので突破できるのですが、入力できるデータの長さが制限されているという。いかに短い文字数で任意のスクリプトを実行することができるか、というのが今回のお話。

Netscape4限定のコードなども紹介されて笑いを誘いましたが、結論としては、IE限定で以下のコードが動作するらしいです。

URLはlocation.hrefと同じ、nameはwindow.nameなので、ウィンドウにjavascript:で始まる名前をつけて呼び出してやればスクリプトが実こうできるという仕組み。

※手元のIE9では動かない気がするので古いIE限定かも。

ターゲットのサイトがjQueryを使っていれば、以下のような6文字のコードが最短なのだそうで。

KDDI新GWの「かんたんログイン」なりすまし問題を振り返る

徳丸さん、ガラケー卒業宣言。

• KDDI新GWの「かんたんログイン」なりすまし問題を振り返る (www.hash-c.co.jp)

まずはDNS Rebindingによる攻撃のデモ。

それから、EZWebのIPアドレス統合に伴って発生した問題についての話。ガラケー用のゲートウェイと「PCサイトビューア」のIPアドレスが統合されたという話があったのですが、PCサイトビューアではJavaScriptが動作します。これをうまく使うとガラケー用のサイトの認証を突破できる可能性がある、というお話。

リクエストヘッダのUser-AgentやX-UP-SUBNOは書き換えられないようになっているのですが、X_UP_SUBNOというヘッダフィールドを送ると環境変数X_UP_SUBNOの値が上書きされる……というのが以前あったお話。今回はそれはブロックされていたのですが、X.UP.SUBNOを送ると通り、環境変数X_UP_SUBNOに格納されるというお話でした。

結局、IPアドレスを統合するという話自体が白紙に戻ったようです。

モバイルアプリケーションセキュリティ101

モバイルのセキュリティに関する小話連発。気になったところだけメモしています。

まずは端末の特性に関するお話。

• デバイスの盗難、紛失リスクが高い。飛行機に良く忘れていく
• 容易にroot化、脱獄可能 (紛失した端末を拾われる→取得者が脱獄)
• プラットホーム、デバイスごとに異なる機能
• パッチ、アップデートが困難
• ユーザビリティのためにセキュリティを犠牲にする傾向

それからアプリケションの話。

• 機密データをWorld readableにして保存してしまうケース
• デバイス上ではパスワードを保存するのではなく、トークンを保存するべき
• KeyChainへのパスワード保存はroot権限で突破可能
• PINコードは1万通りしかないので簡単に総当たり可能
• SSL/TLSの不適切な利用、証明書の検証を忘れているケース
• UDIDでの認証
• cycryptでアタッチしてオブジェクトの中身を閲覧する
• Objective-C はreflective language
• カレログ
• 有料リソースへのアクセス
• Monkeyによるファジング
• Jailbreakされるのは脆弱性か?

OWASPの歩き方

また上野宣か。