Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webフロントエンドの脆弱性つまみ食い 2024年版

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for tyage tyage
November 05, 2024
17
5.9k

Webフロントエンドの脆弱性つまみ食い 2024年版

Avatar for tyage

tyage

November 05, 2024
Tweet

More Decks by tyage

See All by tyage
Webサービスの終活
Avatar for tyage tyage
0
970
ディストピアブラウザ
Avatar for tyage tyage
0
2.6k
Atomエディタで振り返る、昨今のWeb周辺事情
Avatar for tyage tyage
1
3.8k

Featured

See All Featured
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
420
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
Avatar for Greg Gifford greggifford
PRO
0
60
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
61
49k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
170
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
120
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k

Transcript

  1. Webフロントエンドの 脆弱性つまみ食い 2024年版

  2. 自己紹介 山崎啓太郎 / Twitter: @tyage GMOサイバーセキュリティ byイエラエ アプリケーションセキュリティ課 - 元々はWebサービスの開発をしていてセキュリティの職種は6年目。

    JavaScriptが好き。授業中に電子辞書でjQueryのソースを読み耽っていた。 - その他 - セキュリティ・キャンプ全国大会 2022, 2023 講師 - Bug Bounty Rewarded: Google GitHub, Twitter, etc - [ブログ] サーバサイドレンダリングの導入から生じるSSRF - [ブログ] 危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144

  3. [内容が公表されていれば追 加予定のページ]

  4. <AD>

  5. 【広告】Webペネトレーションテスト WebアプリケーションやWebAPIのセキュリティ対策状況を攻撃者視点で評価 https://gmo-cybersecurity.com/service/assessment/pentest/

  6. </AD>

  7. Webフロントエンドの脆弱性 色々な会社様のサービス・ソースコードを見てきました 機密情報が保管されるバックエンドやAPIサーバが注目されがちですが、 Webフロントエンドも重要です! 最近もまだ見るフロントエンドの脆弱性を10分で紹介

  8. (個人的)フロントエンドの脆弱性TOP10 1. 🥇 XSS 2. 🥈 XSS 3. 🥉 XSS

    4. CSRF 5. Information Leak 6. Open Redirect 7. APIのPath Traversal 8. DoS 9. XS-Leaks 10. Prototype Pollution

  9. XSS

  10. XSS(広義) = Webサイトに訪問中の被害者のブラウザ上で JavaScriptを実行する攻撃

  11. XSS:クロスサイトスクリプティングの一例 JavaScriptコードの 埋め込みに成功 サイトにアクセスするだけで 認証情報を使って好き放題される

  12. Webフロントエンドでの要注意ポイント - DOMElement#innerHTML - React dangerouslySetInnerHTML - window.location = …

    - <a href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど

  13. - DOMElement#innerHTML - dangerouslySetInnerHTML - window.location = … - <a

    href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど Webフロントエンドでの要注意ポイント // case1. Markdownによる入力をサポート <div dangerouslySetInnerHTML={{ __html: md2html(markdown) }} />

  14. - DOMElement#innerHTML - dangerouslySetInnerHTML - window.location = … - <a

    href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど Webフロントエンドでの要注意ポイント // case1. Markdownによる入力をサポート <div dangerouslySetInnerHTML={{ __html: md2html(markdown) }} /> __html: にJavaScriptを実行するHTMLが入り込むとアウト __html: '<img src=0 onerror="fetch(...)">'

  15. Webフロントエンドでの要注意ポイント - DOMElement#innerHTML - dangerouslySetInnerHTML - window.location = … -

    <a href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど // case2. 多言語対応テキストでHTMLを使用 // e.g. <a href={}>利用規約</a>に同意する <div dangerouslySetInnerHTML={{ __html: i18n(error.type, error.args) }} />

  16. Webフロントエンドでの要注意ポイント // case3. JSON-LDを埋め込みたいので「"」が HTMLエスケープされないように <script type="application/ld+json" dangerouslySetInnerHTML={{ __html: JSON.stringify(jsonLd)

    }} /> ref: https://nextjs.org/docs/app/building-your-application/optimizing/metadata#json-ld - DOMElement#innerHTML - dangerouslySetInnerHTML - window.location = … - <a href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど

  17. Webフロントエンドでの要注意ポイント <a href="javascript:alert('XSS')"> このユーザのWebサイト </a> ☝クリック - DOMElement#innerHTML - dangerouslySetInnerHTML

    - window.location = … - <a href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど

  18. <a href={...}>等でjavascript: URLが使えなくなった! ref: Generate safe javascript url instead of

    throwing with disableJavaScriptURLs is on #26507 https://github.com/facebook/react/pull/26507 【朗報】React 19から安全に ☝クリック

  19. (再掲)Webフロントエンドでの要注意ポイント - DOMElement#innerHTML - React dangerouslySetInnerHTML - window.location = …

    - <a href={...}> - <iframe src={...}> - <FOO {...props}> - eval(...), setTimeout(...) - などなど こういった箇所はDOM Based XSSのsinkと呼ばれる

  20. WebフロントエンドでのXSS対策 危険な関数、プロパティは使わない

  21. WebフロントエンドでのXSS対策 - 危険な関数、プロパティはどれ → Lint、SASTツールの警告も参考に - マイナーライブラリまではカバーできないが、ある程度はカバーできるはず - dangerouslySetInnerHTMLが必要 →

    サニタイズはDOMPurifyがオススメ - DOMPurify https://github.com/cure53/DOMPurify - XSSに詳しい人々がこぞって改善しまくっているサニタイジングライブラリ - Content-Security-Policyで十分? → ないよりマシだが回避可能なことが多い - 例: Google Tag Manager www.googletagmanager.com を許可するとなんでも実行できる - 厳格なCSPは導入コストが高い

  22. もちろんサーバ側もXSSの対策は必要 - HTML出力時のエスケープ - <script>, <a href>, <span onclick>等コンテキストに合わせたエスケープ -

    ファイルアップロード先はサンドボックスドメインに - 正確なContent-Typeヘッダの設定 - Content-Security-Policyの設定 - SSTIの対策 - キャッシュ汚染の対策 - パストラバーサルの対策 - などなど

  23. CSRF https://xtech.nikkei.com/it/article/COLUMN/20130218/456763/

  24. CSRF = 被害者のブラウザから意図しない リクエストを送信し、サーバに処理させる攻撃

  25. CSRF:クロスサイトリクエストフォージェリの一例 掲示板に投稿するスクリプト が埋め込まれている 被害者のIPアドレス、Cookieで 掲示板に爆破予告を書き込み 攻撃者のサイトにアクセス

  26. CSRFの実例 • パソコン遠隔操作事件(CSRFで掲示板に殺人予告) • はまちちゃん事件(mixiに勝手に日記が投稿される) 上記は掲示板やブログへの意図しない書込み処理がCSRFの対象だが、 CSRFによって意図しない認証連携やパスワード変更ができれば アカウントの乗っ取りに繋がる場合も

  27. CSRFはバックエンドだけの問題? - ユーザが意図したリクエストかどうか、バックエンドで判断できれば防げる - CSRFトークンやHTTPヘッダを検証するのがメジャーな対策 - 認証情報がlocalStorageにあればクロスオリジンリクエストでもサーバに認証 情報が飛ばない - 現代ではCookieのSameSite=laxデフォルト化によりCSRF緩和済み(※)

    → フロントエンドでCSRFは気にしなくていい? → Cookie使ってなければ問題ない? ※ ChromeではSameSite属性なしのCookie発行後2分間はCSRFでCookieが飛ぶ

  28. NO

  29. Case1. URLにアクセスすると処理が発生するもの 別サイトから遷移後、フロントエンドで自動的に処理(もしくはフロントエンドからバッ クエンドへリクエストを送信)するものに要注意 • ID連携 http://example.com/callback?token=eyJ…. • メールの購読停止 http://example.com/unsubscribe

    • 決済 http://example.com/purchase?token=abcabc • スマホアプリ連携 http://example.com/app?deviceId=blahblah もしこれらのURLに意図せずアクセスさせられてしまうと...? バックエンド側では意図したリクエストか攻撃か判断できないかも

  30. Case2. リクエスト先の改ざんに要注意 example.com/users/tyage →fetch("/users/tyage") example.com/users/tyage%2Ffollow→fetch("/users/tyage/follow") URLにアクセスさせられると、意図せずフォローしてしまう // バックエンドからユーザ情報を取ってきて表示する // ※

    params.id がURLエスケープされていない fetch(`/users/${params.id}`, { method: 'POST', headers: {...} })

  31. WebフロントエンドでのCSRFの対策 • そのURLにユーザが意図せずアクセスしてきても大丈夫か考えてみる ◦ 処理する前に「本当に◯◯しますか?」とユーザの意図を確認する必要があるかも • URLパスの構築時には適切にURLエンコードするかバリデーションする

  32. まとめ - ブラウザやライブラリの防御機構によりデフォルト安全になってはいる - 特にSameSite Cookieは近年でも大きな変更 - しかし対策をしなくてよくなったわけでもない - XSSはまだまだ健在なのでお気を付けて!

    - オススメ資料: Webセキュリティのあるきかた YAPC::Hakodate 2024 https://speakerdeck.com/akiym/websekiyuriteinoarukikata

  33. おまけ: 今回含められなかった内容 - XS-Leaks, BF-Cache等、新しい罠も - 新しいAPIは攻撃者にとって有用になりがち - Performance API,

    Service Worker, postMessage - 近年のブラウザのセキュリティ対策 - CSP, COOP, CORP等のヘッダ, Trusted Typesを適切に使えばいい感じになる。適切に設定できれば... - window.open等にはUser Interactionが必要になった - Private Network Accessの制限 - 逆にブラウザ独自のXSS保護機構はなくなった - ブラウザのセキュリティを回避するための”ハック”は攻撃者にとっても美味しい - Third party cookie対応のために”穴”を作っていませんか? - よく考えずに SameSite=None してませんか? - よく考えずに Access-Control-Allow-Origin したことはありませんか? - これはSameSite=Lax下では影響が小さくなった - 旧来からずっとある脆弱性 - DoS - 場合によってはサービスが止まりうる - Open redirect - あまり重要視されないし、実際そうだと思う - ただし、別の脆弱性と組み合わせてよくないことが起きることも