scaladocのXSS脆弱性

Kenji Yoshida @xuwei_k

あの todesking さんが scaladoc に関する XSS 脆弱性を見つけて、それが修正された(その他細かい修正含む) Scala 2.11.6 がリリースされたらしいですよ！ github.com/scala/scala/re…

Kenji Yoshida @xuwei_k

というわけなので、scaladocと同じドメインに色々置いてる人は、どうにかしましょう！(でいいのかな？)

Kenji Yoshida @xuwei_k

ちなみにXSSの実例です scala-lang.org/api/2.11.5/#ja…

kyo_ago @kyo_ago

これ大丈夫かな。。。 微妙にまだ攻撃リナリオ残ってる気がする。。。

kyo_ago @kyo_ago

けど、後方互換とかもろもろ考えると一次対応としては問題ないのかな

kyo_ago @kyo_ago

言語と一緒に同封されるドキュメント表示系って結構XSS見つかってるのであれだ（Rubyも前あったし）

mala @bulkneets

これがまだできるな gyazo.com/dfdfb4c322ed6d…

wenbose@お好きな読み方でどうぞ @wenbose

んー、「scaladocの脆弱性に関する攻撃シナリオがまだある」という認識でOKなのかしらん。

kyo_ago @kyo_ago

これ、同じドメイン上にオープンリダイレクタあるとクライアント側だけでは実質修正不可能だし、結構辛い気がする

kyo_ago @kyo_ago

ページの生成段階でホワイトリスト作成して埋め込むとか？

mala @bulkneets

できた gyazo.com/dd3f501274cbe0…

mala @bulkneets

location.protocol入れちゃってるのが駄目で、ドメイン基点の相対パス / で始まること保証(//はだめ) にするか location.hash="abc"; location.pathname = "/def"; とかでもよいんじゃ

kyo_ago @kyo_ago

URLは必ずwww.scala-lang. org/api/current/以下にマッピングされるっぽいので、とりあえず'/api/current/'入れればいいのかな

kyo_ago @kyo_ago

/current/はバージョン番号の場合があるから/api/のみならいいかな

mala @bulkneets

@todesking お前の中途半端な仕事の結果がこれだ twitter.com/bulkneets/stat…

トデス子'\ @todesking

起床+真っ青になってる

トデス子'\ @todesking

反省しております(すごく)

mala @bulkneets

@wenbose 別サイトのコンテンツをフレームに表示出来るだけで、scaladoc設置ドメインの権限でscript実行できるわけではないです

トデス子'\ @todesking

と思ったけどフレーム内に別サイト表示できるだけなら危険度は激減してるか(前はJS動いた)、おれのしたことはむだではない

mala @bulkneets

scaladocが課金コンテンツだったら(続きは有料) 十分に悪用可能だ

Kenji Yoshida @xuwei_k

@kyo_ago 公式はそうかもしれない？けど、任意のすべてのScalaライブラリがscaladoc生成して自由に置けるので(例 => scalaz.github.io/scalaz/scalaz-…

トデス子'\ @todesking

URLによる指定で左フレーム消せる機能あったらフィッシング可能だったしあぶないところだった

トデス子'\ @todesking

エックスビデオスの件についてはかいはつチームに報告しておいた