[3456] Re: 「CSRFの説明に追記」

記事個別表示 (3456)

これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。

スターダスト (2006年4月1日 13時30分)

ええとトピックの主題からははずれます。CSSXSSばなしです。CSRFはよけておきます。

>　ただ、「CSSXSS」については私の中でもまだ完全に消化されていない感じで、議論はこれからという感じですね。たとえば、{} が無ければそれで大丈夫なのかとか、いろいろ検討すべきことがありそうです。

1.そういえば某カタカナを壊さないようにしなくてはというお話とかがありましたね。罠ページがUTF-8で記述されてて @import先がShift_JISの場合、 { が全く無いテキストでも、「ボ」や「マ」などの 7B, 7D を含む文字があれば…被害者ページがShift_JISでページを吐くようなら…単純に{}だけ切り飛ばせば良いのかは微妙な問題です。

2.盗み出されるデータはHTMLでなくとも良いのです。このへん世間様ではあまり意識されていないと思います。たとえば…JSファイル。ログイン後、そのユーザにみあった秘密情報を含むJSファイルをサーバから適用している時には、そのJSファイルの内容を簡単に盗み見ることが出来てしまう可能性があります。{}等をカットすることは、この場合には不可能です。いや、実例がありまして、昨年１２月にIPA宛てに通報いたしました。

3.はまちちゃん exploit on はてな　では、検索窓から{}等を突っ込んで返ってくるページにログイン済みユーザの名前が出ているから取れちゃうよ～というお話でした。{}を文字参照してあれば大丈夫だったかもしれません。攻撃者側がなんらかのinsertionを行った罠を作成し被害者を誘導することがあるわけですから、静的なページはともかく動的なページでも配慮が必要となってしまいます。ことは検索などのフォームに限りません。たとえば、Webメールサービスでは、件名に{}等をつっこんだ悪意あるメールを被害者個人に送っておき、その直後に別途用意した罠ページをふませることで、被害者の受信メール一覧を盗み出すことが出来てしまうかもしれません。あるいは、返信をさせて、送信済みメールの一覧を盗み出すとか。これは実例がありまして、IPAに報告済みです。件名に含まれる{}をとっぱらったり文字参照すればよかったのかといえば、Shift_JISなんかですと、難しかったりするかもしれません。

なんといいますか、この穴、イヤすぎです。

これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。
全読: [3450]Re: 「CSRFの説明に追記」からのスレッド(16件)]
- [3450] Re: 「CSRFの説明に追記」 : えむけい (2006年3月31日 3時25分)
  - [3451] Re: 「CSRFの説明に追記」 : A (2006年3月31日 3時55分)
    - [3455] Re: 「CSRFの説明に追記」 : ばけら (2006年3月31日 15時13分)
  - [3452] Re: 「CSRFの説明に追記」 : えむけい (2006年3月31日 4時9分)
    - [3454] Re: 「CSRFの説明に追記」 : ばけら (2006年3月31日 14時23分)
      - [3456] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月1日 13時30分)
        [3459] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時51分)
        [3460] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時52分)
  - [3457] Re: 「CSRFの説明に追記」 : 通りすがりその１ (2006年4月1日 23時25分)
  - [3458] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時45分)
    - [3463] Re: 「CSRFの説明に追記」 : ばけら (2006年4月3日 11時15分)
  - [3461] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月2日 21時18分)
    - [3462] Re: 「CSRFの説明に追記」 : えむけい (2006年4月3日 2時26分)
      - [3465] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月3日 16時21分)
        [3467] Re: 「CSRFの説明に追記」 : えむけい (2006年4月4日 0時53分)
  - [3464] Re: 「CSRFの説明に追記」 : ばけら (2006年4月3日 11時25分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >ええとトピックの主題からははずれます。CSSXSSばなしです。CSRFはよけておきます。 > >>　ただ、「CSSXSS」については私の中でもまだ完全に消化されていない感じで、議論はこれからという感じですね。たとえば、{} が無ければそれで大丈夫なのかとか、いろいろ検討すべきことがありそうです。 > >1.そういえば某カタカナを壊さないようにしなくてはというお話とかがありましたね。罠ページがUTF-8で記述されてて @import先がShift_JISの場合、 { が全く無いテキストでも、「ボ」や「マ」などの 7B, 7D を含む文字があれば…被害者ページがShift_JISでページを吐くようなら…単純に{}だけ切り飛ばせば良いのかは微妙な問題です。 > >2.盗み出されるデータはHTMLでなくとも良いのです。このへん世間様ではあまり意識されていないと思います。たとえば…JSファイル。ログイン後、そのユーザにみあった秘密情報を含むJSファイルをサーバから適用している時には、そのJSファイルの内容を簡単に盗み見ることが出来てしまう可能性があります。{}等をカットすることは、この場合には不可能です。いや、実例がありまして、昨年１２月にIPA宛てに通報いたしました。 > >3.はまちちゃん exploit on はてな　では、検索窓から{}等を突っ込んで返ってくるページにログイン済みユーザの名前が出ているから取れちゃうよ～というお話でした。{}を文字参照してあれば大丈夫だったかもしれません。攻撃者側がなんらかのinsertionを行った罠を作成し被害者を誘導することがあるわけですから、静的なページはともかく動的なページでも配慮が必要となってしまいます。ことは検索などのフォームに限りません。たとえば、Webメールサービスでは、件名に{}等をつっこんだ悪意あるメールを被害者個人に送っておき、その直後に別途用意した罠ページをふませることで、被害者の受信メール一覧を盗み出すことが出来てしまうかもしれません。あるいは、返信をさせて、送信済みメールの一覧を盗み出すとか。これは実例がありまして、IPAに報告済みです。件名に含まれる{}をとっぱらったり文字参照すればよかったのかといえば、Shift_JISなんかですと、難しかったりするかもしれません。 > >なんといいますか、この穴、イヤすぎです。