「OWASP Kyushu Local Chapter Meeting 3rd」の実況ツイートまとめ
- takesi_yosimura
- 1046
- 0
- 0
- 0
で、DOM-based XSSって何ですか? JavaScriptが引き起こすXSS。 #owaspkyushu
2015-09-17 19:27:49<script> document.write( location.hash.substring(1) ); </script> で、URLに仕込みがあると… #owaspkyushu
2015-09-17 19:28:56DOM-based XSSはブラウザのXSSフィルタを通過する事が多い>< location.hashなどはサーバのログに残らない>< 既存の検査ツールでは検出不可な場合も>< #owaspkyushu
2015-09-17 19:30:12攻撃者はJavaScriptのソースコードを読んだ上で攻撃を仕掛ける事が出来るので攻撃者が一撃必殺!! コワイ! #owaspkyushu
2015-09-17 19:31:56これまでサーバ側でやった対策をJavaScriptでもやりましょう! document.createTextNodeなどを使う! #owaspkyushu
2015-09-17 19:36:19使用しているライブラリも更新しましょう! jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作る! など #owaspkyushu
2015-09-17 19:39:47原則だけでは立ち行かない現実>< 一部のタグだけは許容したいとか相対URLも使いたいとか言う現実 #owaspkyushu
2015-09-17 19:42:07テンプレート処理を自分で書くのはやめるべき。 汎用性に欠けるのに見通しの悪いコードが増える。 JSのテンプレートエンジンライブラリの導入 MV*フレームワークなど・・・各ライブラリの挙動を把握して使用すること #owaspkyushu
2015-09-17 19:45:39危険そうなタグ・属性を消すというアプローチは攻撃者はすり抜ける策を知っているのでダメ! #owaspkyushu
2015-09-17 19:48:43安全なタグ、要素だけでHTMLを組み立てなおす DOMPurify github.com/cure53/DOMPuri… #owaspkyushu
2015-09-17 19:50:25相対URLを使うために正規表現で頑張るのはやっぱりダメ。 相対URLを絶対URLに正規化する URLUtilsインタフェース(Chrome, Firefoxのみ) #owaspkyushu
2015-09-17 19:53:03DOM-based XSS 探し方 スキャナで静的&動的解析(AppScan? DominatorePro?) 一番確実なのはJavaScriptのソースコードを読む! 無料! #owaspkyushu
2015-09-17 19:57:51