ブラウザのXSSフィルターのバイパスをまとめたページを作りました。
こちらです:
https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet
現在のところ、Chrome/Safariのバイパスのみ掲載しています。そのうち、IE/Edgeも掲載するつもりです。
このページを作った理由は、Shibuya.XSS techtalk #9 というセキュリティの勉強会の時に、Firefoxのバグを発見しまくっていることで有名な西村さんが、「XSSフィルター、バイパスが発見されても、気付いたらいつの間にか使えなくなっていたりする。使えるものをまとめたXSSフィルターのバイパスのチートシートみたいなのがあったら便利」というようなことを言っていて、じゃあ僕が4月中に作りますと宣言してしまったからです。今は5月ということは置いておいて、とにかく作りました。
脆弱性検査にあたる人などは、XSSをみつけても、お客さんに「XSSフィルターが止めているから大丈夫じゃないか」などと主張されることがあるかもしれません。また、バイパスできるかどうかがわからないと、実際にどこまで悪用できるかの評価ができない場合もあるかと思います。バイパスまでできているPoCを示せば、説得力を持って攻撃可能なことを証明することができるでしょう。また、ブラウザのバグを発見したいというタイプの人は、これらを参考にしながら、新たなバイパスの発見に挑戦してもよいでしょう。バイパスを発見する目的以外でも、なぜバイパスが起きたかという部分には、その他の場面での攻撃の発想を養ううえでもよい資料となるのではないかと思います。
もともと自分用のバイパスのメモがあったので、これらをまとめるのは、そんなに難しいことではありませんでした。しかしながら、まとめる過程で、新たな可能性に気付いたりして、その検証に少し時間がかかってしまいました。
中でも同一ドメインのリソースを使ってバイパスする手法は、おそらくパブリックでこの攻撃の可能性についてほとんど考察されたことがない、目新しいものではないかと思います。僕も今回改めて考えてみて、いろいろなフレームワーク・ライブラリで攻撃が可能になるかもしれないということに気付きました。
簡単に手法を説明すると、Chromeは、クエリ文字列を持たない同一ドメインのリソースのロードをブロックしません。これは誤検知とのバランスを考えて作られた仕様だと思います。この動作を利用して、同一ドメインのリソースを攻撃用のガジェットとして利用することで、フィルターをバイパスして、任意のスクリプトを実行できてしまうというものです。詳しくはそれぞれの手法をみてみてください。
それでは、どうぞご利用ください。
I don't understand a thing, but nonetheless, thank you for sharing your knowledge, your translated XSS slides were very interesting. ありがとうございました
返信削除Robin Harrison hears how Mittman is growing a media-led, content-driven offering that leverages the ability of the Sports Illustrated brand. Unlike some other types of playing that are primarily based on luck, sports betting can be profitable as a result of|as a end result of} it entails 카지노사이트 a big factor of talent. That’s the place we are available in}, {because|as a end result of|as a end result of} SBO.web is designed to help you|that will help you|that can assist you} become a extra skilful punter. We teach you the way to|tips on how to} make extra profit by assessing the worth and following our betting methods.
返信削除The blog may serve as a platform for Masato Kinugawa to share insights, expertise, and updates on security issues, offering valuable information and guidance to readers interested in enhancing their security knowledge.
返信削除uncontested divorce in va
uncontested divorce in virginia
virginia statute of limitations personal injury