XSS？なんですかそれ？

Transcript

1. Security.any #05 今だから言えるセキュリティLT 2025.07.16 RYO XSS？なんですかそれ？

2. 某人材系サービスを展開するテック企業にて主に 認証基盤の開発やセキュリティ向上の推進に従事 どうすればDevSecOpsを組織に浸透させられるか 日々悩み中 好きな脆弱性はXSS 2 RYO X @RYO_nami

3. （おさらい）XSS ? • XSS（Cross-Site Scripting）は、悪意のあるスクリプトをWebページ に埋め込み、ブラウザ上で実行させる攻撃手法 • 入力フォームやURLパラメータなどを通じてスクリプトを注入し、以下のよ うな被害を引き起こす ◦

   Cookieやセッション情報の搾取 ◦ フィッシングサイトへの誘導 ◦ Webページの見た目や内容の改ざん • 大きく3種類ある ◦ 反射型：攻撃者が作成したリンクをクリックすることで、スクリプトが実行される ◦ 格納型：スクリプトがサーバに保存され、他ユーザに配信される ◦ DOM-based：WebページのHTMLが書き換えられて、スクリプトが実行される

4. あの頃は...

5. あの頃は... XSS なんて知らんかったなぁ...

6. XSSとの出逢い • エンジニア（いわゆるSE）として社会人生活スタート🌸 • 新卒として最初に配属されたプロジェクトで、MVCモデルで作られたWebサ イトの開発・保守を担当することになった • 初めてHTMLに触れる（当時はまだHTML4.01の頃） • 当時はまだまだガラケーが主流、WindowsはXPが主流、ブラウザはIEが主

   流、アイドルはAKB48が主流

7. 当時はこんなエラーメッセージを出していた メールアドレス 　　　　　　　　環境依存文字が含まれています： error_㈱@gmail.com error_㈱@gmail.com なぜかテキストボックスに入力された文字を 全量出すというやや謎の仕様だった （当時は㈱や㍑や①などが許容されていなかった）

8. 当時の私はふと思った メールアドレス 　　　　　　　　環境依存文字が含まれています： error_㈱@gmail.com error_㈱@gmail.com メールアドレスにhtmlタグ入れたら どうなるんやろ？？

9. htmlタグ入れてみた メールアドレス 　　　　　　　　環境依存文字が含まれています： <input type="text" value="㈱" /> ㈱

10. htmlタグ入れてみた メールアドレス 　　　　　　　　環境依存文字が含まれています： <input type="text" value="㈱" /> ㈱ テキストボックスになるやないか／(^o^)＼

11. 当時の私はさらにふと思った メールアドレス 　　　　　　　　環境依存文字が含まれています： <input type="text" value="㈱" /> ㈱ JavaScriptのコード入れたら どうなるんやろ？？

12. scriptタグ入れてみた メールアドレス 　　　　　　　　環境依存文字が含まれています： <script>alert("㈱")</script> (domain).com ㈱ OK

13. scriptタグ入れてみた メールアドレス 　　　　　　　　環境依存文字が含まれています： <script>alert("㈱")</script> (domain).com ㈱ OK アラートダイアログ出るやないか／(^o^)＼

14. そして、XSSとの別れ（？） • 当時は「入力がhtmlとして解釈されるのか、おもろいなぁ～」くらいの軽い 気持ちで受け流していた • 結局、堅苦しい会社の規則に嫌気がさして、XSSを見なかったことにして、 プロジェクトを去るのでした...（転職）

15. XSSは今も昔も注意すべき存在 昔：2010年の記事（ITmedia）

16. XSSは今も昔も注意すべき存在 今：2025年の記事（ITmedia）

17. XSSの対策方法 • 出力時のエスケープ処理（ 例：< → &lt; ） ◦ VueやReactなどのフレームワークは自動的にエスケープ処理を行ってくれる •

    Content Security Policy（CSP）の導入 • outerHTML/innerHTMLの使用を避ける • セキュリティ診断の実施＆検出

18. XSSの対策方法 • 出力時のエスケープ処理（ 例：< → &lt; ） ◦ VueやReactなどのフレームワークは自動的にエスケープ処理を行ってくれる •

    Content Security Policy（CSP）の導入 • outerHTML/innerHTMLの使用を避ける • セキュリティ診断の実施＆検出 ここに関しては最近、 HTMLの仕様に変更が！

19. HTML：属性値内の < と > がエスケープされるように！！ chrome for developers （2025/06/12）

20. Q. 次のconsole.log()の出力結果は？ <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script>

21. Q. 次のconsole.log()の出力結果は？ <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script> A. <div data-content="&lt;p&gt;hello&lt;/p&gt;"></div>

22. Q. 次のconsole.log()の出力結果は？ <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script> 属性値内の < と > がエスケープされるようになった A. <div data-content="&lt;p&gt;hello&lt;/p&gt;"></div>

23. 変わったのは？ • HTML文字列を取得する場合のみ、< と > がエスケープされる ◦ innerHTML ◦ outerHTML

    ◦ getHTML() • DOM APIを使って属性値を取得する場合、以前と変わらず ◦ dataset ◦ attributes ◦ getAttributes()

24. なぜこの変更が必要だったのか？ • ミューテーションXSS（mXSS）を防ぐため ◦ mXSS：ブラウザのHTMLパーサやDOMの自動修正機能を悪用する XSS • 通常のXSS対策では入力値のエスケープやサニタイズを行うが、mXSSではブ ラウザが勝手に「元に戻して」しまうため、意図せずスクリプトが復元され てしまう

    ◦ 例：攻撃者が一見すると無害な HTMLタグを仕込む ▪ <svg><desc>&lt;img src=x onerror=alert('XSS')&gt;</desc></svg> ◦ ブラウザがHTMLをパースする際、 &lt;img &gt; を <img> タグに変換してしまう ▪ <svg><desc><img src=x onerror=alert('XSS')></desc></svg> ◦ onerror=alert(“XSS”) が発火し、XSSが成立

25. いつからブラウザに反映される？ • Chrome: 反映済み（ver138） • Firefox: 反映済み（ver140） • Safari: 2025年9月予定（ver26）

26. まとめ • XSSは悪意のあるスクリプトをWebページに埋め込み、ブラウザ上で実行さ せる攻撃手法 • XSSは昔からあるが今も現役で悪用されている危険な脆弱性 • HTMLの仕様が変更されmXSSに対して安全性が増した • とは言っても、まだ全てのブラウザに適用されたわけではないので、開発者

    は今後も引き続きXSS対策が必要 ◦ （セキュリティ対策に終わりはない ...）

27. ご清聴ありがとうございました