Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DOM Invader - prototype pollution対応の衝撃 - / DOM ...

Avatar for okuken okuken
June 27, 2022
Technology
860
0

DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution

Avatar for okuken

okuken

June 27, 2022

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
Avatar for okuken okuken
0
490
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
Avatar for okuken okuken
0
450
npm Security ー サプライチェーン攻撃の観点から ー
Avatar for okuken okuken
1
700
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
Avatar for okuken okuken
0
560
Dangerous usage of JNDI
Avatar for okuken okuken
0
480
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
Avatar for okuken okuken
0
500
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
Avatar for okuken okuken
0
2.9k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
Avatar for okuken okuken
0
1.7k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
Avatar for okuken okuken
1
600

Other Decks in Technology

See All in Technology
Claude Code×Terraform IaC テンプレート駆動開発
Avatar for Itou Hideki itouhi
1
490
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
Avatar for soudai sone soudai
PRO
1
230
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.9k
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
Avatar for 8maki 8maki
0
1.4k
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
720
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
720
AAIFに入ってみた ~内から見えるコミュニティ動向~
Avatar for Satoshi Ito sato4
0
140
DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜
Avatar for nyankotaro nyankotaro
1
380
Agent Skills設計で柔軟性と硬さのバランスが難しい話
Avatar for nassy nassy20
0
110
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
170
Agentic ERPをどう設計するか ー 受発注エージェントを動かす、現場の知見と設計思想ー
Avatar for 株式会社リチェルカ recerqainc
1
2.2k
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
Avatar for shibayu36 shibayu36
0
580

Featured

See All Featured
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
170
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
310
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
390
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
1
250
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
850
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
530
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
230
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
360
30k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
220
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
180

Transcript

  1. DOM Invader ー prototype pollution 対応の衝撃 ー @okuken3 2022.06.27 第20回

    初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. DOM Invader が prototype pollution に対応! 2.

    DOM Invader の復習 3. DOM Invader で prototype pollution を試してみよう! 4. まとめ Agenda

  3. Kenichi Okuno  Twitter: @okuken3 自己紹介 ・セキュリティエンジニア ・三井物産セキュアディレクション(MBSD)所属 ・主にWebアプリケーション脆弱性診断を担当 ・趣味で全集中Burp extension

    ISTEを開発 ・過去職ではWebアプリ開発やプロダクトセキュリティなど 最近の出来事/一言 ・運動の習慣化 ・ISTEのSlackお気軽にご参加ください

  4. 1. DOM Invader が prototype pollution に対応!

  5. リリース情報 Professional / Community 2022.6 [Early Adopter] (20 June 2022

    at 12:37 UTC) https://portswigger.net/burp/releases/professional-community-2022-6

  6. ドキュメント / 公式ブログ DOM Invader [PROFESSIONAL] [COMMUNITY] https://portswigger.net/burp/documentation/desktop/tools/dom-invader  - prototype pollution

    関連の記載はなし(2022/06/25時点) Finding client-side prototype pollution with DOM Invader https://portswigger.net/blog/finding-client-side-prototype-pollution-with-dom-invader  - 解説動画あり ★おすすめ★  - prototype pollution 自体の平易な解説もあり Widespread prototype pollution gadgets https://portswigger.net/research/widespread-prototype-pollution-gadgets  - prototype pollution gadget の具体例をソースコードを交えて解説

  7. 2. DOM Invader の復習

  8. ※※ 詳細は過去LT資料を参照ください ※※ DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - https://speakerdeck.com/okuken/dom-invader

    Web Messaging のセキュリティ - DOM Invaderを添えて - https://speakerdeck.com/okuken/web-messaging-security

  9. 端的に言うと  ✓ 興味深いシンクとソースを検出&一覧表示!  ✓ スタックトレースの表示&該当行へジャンプ!  ✓ Web Messaging 特化の機能群もあるよ! 復習

  10. ソース?シンク?? 復習

  11. ソース?シンク?? eval element.innerHTML 値 location.pathname document.cookie location.hash 復習

  12. DOM Invader の起動 1. Early Adopter になる  - DOM Invaderは正式リース前であり、Early

    Adopterにのみ提供されている(2022/06/27時点)  - 設定経路:User options > Misc > Updates  - 設定後に Help > Check for updates を実行すると、Early Adopterのリリースが取得される initial problems が含まれる版になるため、Burpを業務利用している場合は注意が必要です。 復習

  13. 2. 内蔵ブラウザを起動する  - DOM Invader は内蔵ブラウザ(Chromium)のアドオンとして実装されている  - 起動経路:Proxy > Intercept

    > Open Browser 3. Burp Suite Container extension(アドオン)をピン留めする DOM Invader の起動 復習

  14. 4. DOM Invader を有効化する  - デフォルトはoff(対象のWebアプリケーションを壊しかねないため) ※公式ドキュメント参照 診断対象以外のサイトにアクセスする際は無効化しておくのが無難でしょう。 DOM Invader

    の起動 復習

  15. 1. 開発者ツールを起動する(F12) DOM Invader の使い方 DOM Invader の独自タグが追加されている ※最新版ではタブが1つに統合されており、  タブ名は「DOM

    Invader」となっている シンク(Sinks)とソース(Sources)は ここに表示される 便利機能ボタン 復習

  16. 2. Consoleタブを画面下部に表示しておく(ESC) あとで使います! DOM Invader の使い方 復習

  17. 3. DOM Invader で prototype pollution を試してみよう!

  18. 1. 検証用サイトを開く https://portswigger-labs.net/dom-invader-prototype-pollution/ 公式ブログでも紹介されていた、 「prototype-pollution-query-string-gadget」 で動作を確認してみました。

  19. 2. Prototype pollution を有効化 ①「Prototype pollution is on」へ変更 ②「Reload」押下

  20. 3. Prototype pollution sources(ソース)が検出された! ① Prototype pollution sources が2箇所検出された! ②「Scan

    for gadgets」を押下して、  Prototype pollution gadgets のスキャンを開始する!

  21. 4. Prototype pollution gadgets を検索中・・・完了!検出あり!

  22. 5. Prototype pollution gadgets(シンク)が検出された! ① Prototype pollution gadgets が1箇所検出された! ②「Exploit」を押下して、

     Prototype pollution によるXSSの発火を試みる!

  23. 6. XSS発火!! Prototype pollution によるXSSのためのペイロードが URLパラメータに追加されている。 開発者ツールのElementsタブでDOMの様子を確認。 URLパラメータで指定されたimgタグが挿入されている。

  24. 7. Prototype pollution gadgets(シンク)のJavaScriptコードを確認する ①「Stack Trace」のリンクをクリック ② Consoleに出力されたスタックトレースの中で、  確認したい箇所のリンクをクリック

  25. 8. ・・・???  空っぽ…

  26. 9. (気を取り直して) スタックトレースに記載の行番号のJavaScriptコードを見に行く (別画面のSourcesタブにて)該当箇所である110行27列目を確認。 innerHTML(=HTMLエスケープ無し) に o.html を代入している。 Prototype pollution

    source を利用することで o.html の汚染が可能であれば、 XSSのペイロードで汚染することにより、XSSが成立する。

  27. 10. Prototype pollution sources(ソース)のJavaScriptコードを確認する ①「Stack Trace」のリンクをクリック ② Consoleに出力されたスタックトレースの中で、  確認したい箇所のリンクをクリック

  28. 11. Prototype pollution sources(ソース)のJavaScriptコードを確認する この時点で、cur には {} で初期化された Object が入っており、

    keys にはリクエストパラメータのパラメータ名を分割した配列が入っている。 先の例では、リクエストパラメータ __proto__[html]=<img src onerror=alert(1)> が設定されていたので、 keys は [‘__proto__’, ‘html’] であり、 forループの1周目で cur に {}.__proto__ が代入され、 forループの2周目で {}.__proto__.html = “<img src onerror=alert(1)>” が実行され、プロトタイプ汚染が 成立する。そして、汚染されたプロパティが先述の innerHTML への代入処理において o.html にて参照される。

  29. まとめ  ✓ DOM Invader が prototype pollution に対応!  ✓ prototype

    pollution source および gadget の検出から Exploit まで!  ✓ 正式リリースが待ち遠しい!
  30. None