元ネタ
セキュリティホールmemo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/03.html#20090318__XSS
経由
セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ(13)
世間の認識と脅威レベルのギャップ
――XSSは本当に危ないか?
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html
えと…ちょいとひねる体力ないので、直球勝負で。
いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?
えと…かなり限りなくギリギリな一言です。もちろん正鵠を射る発言である可能性を否定しないのですが…
いままで丸6年間、JSOCで働いてきましたが、お客様の企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません。
とりあえず。「企業の株が暴落しなくてビジネスを脅かさなければ無問題」という判定基準は如何なものでしょうか?
「XSSなんてバグなんだから存在してはならない」
→当たり前だが、バグのないシステムなんかあるのか?
「過去にはこんなワームなどで悪用された」
→5年間で10件程度もない頻度で、
SQLインジェクションと比べたら微々たるもの
「こうやったらCookieが漏れる」
→それでどれくらい事件になったか?
これが経営者の投資意欲につながる数字なのか?
えと………
実際の攻撃事例はどうでしょうか。われわれのJSOCで観測しているものをみても、XSS攻撃を行っているのは日本からのみで、海外からのXSSはほとんどみられません。それは攻撃する側にとって、XSSはお金もうけの手段として大変面倒くさいものだからです。XSSで能動的に攻撃を行うことでなにかが得られるものではないため、わなを仕込む必要があります。わなを仕込んで誘導するくらいであれば、クライアントアプリケーションの脆弱性を狙ってボットを仕込む方がはるかに効率的だからです。
これも甘い。
とりあえず、同じサイト内にあるはずである
【特集】
Webアプリケーションにセキュリティホールを作らないための
クロスサイトスクリプティング対策の基本(中編)
〜XSS脆弱性により起こる被害とその対策〜
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html
から軽く引用かましてみませう*1。
cookieの盗難
-中略-
ページの改ざん
んで。Pageの改ざんって、そのまんままっすぐ「フィッシング詐欺への入り口」という単語がoptionでついて回ります。
その状態で
* 年に1回も起きないことに関してセキュリティ投資をする価値があるのか?
* “技術的に可能”なことがそのまま現実に起こるのか?
* XSSの脆弱性のためだけにシステムの再構築する必要があるのか?
* この問題で株価が下がることなんてあるのか?
* やられてしまったら営業担当者1人に謝罪にいかせた方が安いんじゃないのか?
って発言でますかねぇ?
しかも。いくつかの特殊な例を除いて、「"随所に関所"パターンで出力時に例外なくエスケープ処理」一発で片付く脆弱性なのですが?
ぶっちゃけ。作り方が悪くなければ修正なんざあっという間なんじゃないんですかねぇ?(毒)*2
しかも。
まずは掲示板、日記など、外部からデータを登録可能な内容を閲覧する機能にはXSSが存在しないようにしてください。特に「不特定多数からデータを登録可能」かつ「そのデータを不特定多数に表示する」機能については攻撃者に狙われる確率が高く、狙われた場合の被害が大きくなりますので、対策の優先順位は高くするべきです。
えと…壮絶に広範囲にこれって当てはまりません?
現時点でのXSSのリスクはなんでしょうか。私の考えるリスクは以下のものです。
1. 社会的信用のある企業・サービスが被害を受ける
銀行、クレジットカード決済、公共サービスなど社会的に信用が必要なサイトは狙われる可能性も高く、被害が発生した場合の存在も大きくなります。
2. 痛くもない腹を探られる
XSSの脆弱性があるだけで「おたくのサービスは大丈夫か?」「ほかのサービスも危ないのでは?」と疑われるきっかけを生みます。
3. いちゃもんをつけられる
“正義の味方”的な人に「ここは脆弱性があるぞ」とさらされます。見方によっては脆弱性の存在をタダで教えてくれる便利な人かもしれません。
だから。フィッシング詐欺の想定は?
とりあえず。
「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起
http://itpro.nikkeibp.co.jp/article/NEWS/20061113/253479/
さまざまなWebサイト(Webアプリケーション)において,XSS脆弱性が相次いで見つかっている。その背景には,開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには,XSS脆弱性のリスクを把握する必要がある」(徳丸氏)。しかしながら,実際には,XSS脆弱性のリスクを過小評価しているケースが少なくないという。
例えば,「(自分たちが運営している)携帯電話向けサイトでは(携帯電話上では)スクリプトは実行されないから大丈夫」や「うちのサイトでは Cookieを使っていないから,XSS脆弱性があっても被害に遭わない」――といった話をユーザー企業から聞かされることがあるという。
もちろん,Cookieを盗まれることもリスクの一つである。しかしそれよりも,「XSS脆弱性が存在するサイト上に,偽のログイン画面や個人情報入力画面を作られることのほうが深刻だ」(徳丸氏)。フィッシング詐欺への悪用である。XSS脆弱性を使えば,細工を施したリンク(URL)をユーザーにクリックさせることで,XSS脆弱性が存在するWebサイトを経由して,任意のHTMLをユーザーのブラウザに送り込める。つまり,コンテンツの一部を改変したWebページを表示させられる。具体的には,Webページ上に嘘の情報を追加したり,偽の入力フォームを作成したりすることが可能となる。フォームに入力した情報は攻撃者のサイトへ送信されることになる。
「盗んだCookieをもとに個人情報などを収集することは“手間”がかかり,それほど容易ではないと考えられる。サイトを偽装されると個人情報を直接盗まれる恐れがあるので,こちらのほうがより深刻だ。加えてXSS脆弱性を悪用した偽装では,偽の入力フォームなどは本物のサイトの一部として表示されるので,URLやデジタル証明書(SSL証明書)を確認しても,偽物であることは分からない」(徳丸氏)。
あたりを熟読していただきたいと思う今日この頃。
んで。
正直一番ひいたのは、ここ。
えと…ラックさんって…おいちゃん的にはかなり「イケイケにバリバリな素敵企業さん」のイメージがあったのですが…認識改めたほうがいいんでしょうか?
ちなみに。
あえて関係ないとしておく話題を二つほど。
いち。
日本語だと一緒なんですけど、英語だと綴り違うんですよねぇ。FishingとPhishingって。
に。
ρ
,/ ヽ
,/ ヽ
∧_∧ ,/ ヽ
( ´∀`),/ ヽ
( つつ@ ヽ
__ | | | ヽ
|――| (__)_) ヽ
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| ヽ
/⌒\/⌒\/⌒\/⌒\|彡~゚ ゜~ ~。゜ ~ ~ ~ ~~ ~ ~~ ~ ~~ ~~ ~~
⌒\/⌒\/⌒\/⌒\/⌒\彡 〜 〜〜 〜〜 〜〜 〜 〜
この記事がいわゆる「釣り」ならまだ「ひっかかっちゃった〜 テヘ」ですむのに………
2009/03/26 追記:
ラックさんからのメルマガ「急増したSQLインジェクション、日中韓でWeb改ざん被害が拡大[LACメルマガ20090326]」で
━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
04 ┃川口洋のセキュリティ・プライベート・アイズ(13)
┃〜世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
━━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
@ITにて連載されている、LAC JSOCチーフエバンジェリスト兼セキュリティア
ナリスト 川口 洋による「川口洋のセキュリティ・プライベート・アイズ」
の第13回が掲載されました。
- -
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」で
まっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている
「まっちゃ445」にお招きいただき、お話ししてきました。▼記事の続きはこちらから
って紹介されてる。
…ってことは会社公認の見解なんですかねぇ???
*1:尤も。対策としてvalidateを勧めているが、それは厳密には誤り。詳しくは以前書いた、「validateとescapeは違う概念だと思うのだが… ( http://d.hatena.ne.jp/gallu/20081112/p1 )」を参照されたし
