Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DOM Based XSSの自動検出の話

Avatar for tanakayu tanakayu
November 21, 2016
Research
3
2.5k

DOM Based XSSの自動検出の話

Shibuya.XSS#8

Avatar for tanakayu

tanakayu

November 21, 2016
Tweet

Other Decks in Research

See All in Research
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
180
Multi-Agent Large Language Models for Code Intelligence: Opportunities, Challenges, and Research Directions
Avatar for Fatemeh Fard (UBC) fatemeh_fard
0
140
Dual Quadric表現を用いた動的物体追跡とRGB-D・IMU制約の密結合によるオドメトリ推定
Avatar for Toyozo Shimada nanoshimarobot
0
100
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
410
「車1割削減、渋滞半減、公共交通2倍」を 熊本から岡山へ@RACDA設立30周年記念都市交通フォーラム2026
Avatar for Traffic Brain trafficbrain
1
820
LLM-jp-3 and beyond: Training Large Language Models
Avatar for Yusuke Oda odashi
1
790
ドメイン知識がない領域での自然言語処理の始め方
Avatar for Hayahide Yamagishi hargon24
1
270
Akamaiのキャッシュ効率を支えるAdaptSizeについての論文を読んでみた
Avatar for bootjp / ぶーと bootjp
1
530
2026年3月1日(日)福島「除染土」の公共利用をかんがえる
Avatar for Masano Atsuko atsukomasano2026
0
470
2026-01-30-MandSL-textbook-jp-cos-lod
Avatar for Yuka Egusa yegusa
1
750
【SIGGRAPH Asia 2025】Lo-Fi Photograph with Lo-Fi Communication
Avatar for Chinatsu Ozawa toremolo72
0
140
明日から使える!研究効率化ツール入門
Avatar for Yusuke Matsui matsui_528
10
5.5k

Featured

See All Featured
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
130
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.6k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
93
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
230
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
180
Designing for Performance
Avatar for Lara Hogan lara
611
70k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
150
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
52k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
61
43k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
320

Transcript

  1. DOM Based XSSを 全自動検出したい話 tanakayu 11/14 @Shibuya.XSS#8

  2. 今日話すこと •DOM Based XSSを全自動検出するには • DOM Based XSS の検出手法事情 •

    実際に既存ツールを用いて実験してみる • 結果をもってより良いものを目指してみる ユーザに依存せず正確かつ自動的に検出したい

  3. 昨今のXSS事情 •サーバ型XSSに大きな変化はなし •クライアント型XSS(DOM Based XSS)はよ り複雑さを増している •DOM Based XSS の検出手法は現在も提案され

    続けている

  4. DOM Based XSS •クライアントサイドスクリプトに起因するXSS •Source(入力箇所)の文字列がSink(出力箇 所)でエスケープされていない際に起こりうる •http://example.jp# Source Sink 【脆弱なコード例】

    <script>alert(1)</script>

  5. 探し方 •JavaScriptを頑張って読む • SourceからSinkの流れを頭で想像しながら追う • JavaScript力が求められる •ブラウザのデバッガを使いつつ頑張る • 値の受け渡し等を実際に動作を確認しながら追う •

    デバッガ力が求められる

  6. •JavaScriptを頑張って読む • SourceからSinkの流れを頭で想像しながら追う • JavaScript力が求められる •ブラウザのデバッガを使いつつ頑張る • 値の受け渡し等を実際に動作を確認しながら追う • デバッガ力が求められる

    探し方(自動編) 静的解析 動的解析

  7. 静的解析 •ソースコードからSourceとSinkを探査 • 正規表現でのパターンマッチとか ScanJS:https://github.com/mozilla/scanjs

  8. 問題 •ダイナミックなコード生成 •Anonymous function •難読化 ⇒XSSの可否はユーザが確認 Jjencode: http://utf-8.jp/public/jjencode.html 今回の目的には合わない...

  9. 動的解析 •テイント解析 1. Sourceにテイントタグを付与 2. テイントタグの伝搬を追跡 3. Sinkの状態を確認 Source Sink

    Propagation tag tag document.URL location.search location.hash document.write innerHTML window.location String.slice() String.split() String.replace() … … … tag Check!

  10. 既存ツール •DOMinator • Firefox(SpiderMonkeyを改造) • 元祖 •Tainted PhantomJS • QtWebKit(JavaScriptCoreを改造)

    • BlackHat Asia 2014 •Hookish • Chrome拡張 • BlackHat US 2015 TaintedPhantomJS:https://github.com/neraliu/tainted-phantomjs/ DOMinator Pro:https://www.blueclosure.com/ Hookish:http://hookish.skepticfx.com/

  11. Tainted PhantomJS •テイント解析とJavaScript(alert())動作で 脆弱か判定 •Tainted? • True or False •Alert?

    • True or False

  12. 実験 •Firing Range • Google製のWebセキュリティ検査ツールのテスト ベッド https://public-firing-range.appspot.com/

  13. 結果(良い点) •FalsePositiveはゼロ • Taint & Alert の二重チェック • 定義されているSource/Sinkについては追えている •URLを渡すだけで実際にXSSできるところまで

    確認することができる

  14. 結果(惜しい点) •定義されていないSinkが検出できない • URLや他リソースがSinkとなるもの • iframe, document.location, etc.. •発火にユーザ操作が必要なものを検出できない •

    <a href=…, <form action=…, etc.. •location.search等の一部Sourceは完全検出できない (taint判定は可能) • ブラウザに依存する問題

  15. 改良 •検出ロジックの追加 • JavaScriptの動作と、それが攻撃コードによるもの かを確認 ⇒alert()で表示する文字列の確認 •攻撃コードの追加 • javascript:alert(1) •

    data;text/html,alert(1) • etc… •攻撃完了後に使用したペイロードの存在を確認 • <a href=“javascript:alert(1)”>

  16. いざ、再びのFiring Range •ユーザ操作が必要なものを検出できない • <a href=…、<form action=… •URLや他リソースがSinkとなるものが検出でき ない •

    iframe、document.location、… •location.search等の一部Sourceは完全検出で きない(taint判定は可能) • ブラウザに依存する問題 クリア!! クリア!! ムリ!!

  17. 最終結果 •Sinkカバー率が上がった •ブラウザに依存する問題はどうにもならない document write innerHtml document writeln document. write

    innerHtml document. writeln a.href embed.src document. location eval function form.action iframe.src range.creat eContextua lFragment object.data script.href setTimeout script.src Sourceをlocation.hashとした時に検出できたSink一覧

  18. まとめと展望 •動的解析結構いいんじゃない? • 結構見つけてくれた • 検査結果の信頼性も高い •ソースコードからXSSパターンを学習させて ペイロードを生成できたら良さそう • 答えは全てクライアントにある