Web9: XSS 悪用の種類 - パート 3: Dom ベースの XSS

反射型と保存型の 2 種類のXSSエクスプロイトについてはすでに述べましたが、それらはすべて、危険なコードが挿入された後、サーバーの応答後に実行される、つまりエラーがサーバー側にあるという共通の特徴を持っています。この機能に反する別のタイプの XSS 悪用もあり、DOM ベース XSS またはタイプ 0 XSS とも呼ばれる、サーバーを経由せずにクライアント側で悪意のあるコードが即座に実行されます。

まず最初に、DOM とは何なのかを知る必要があります。

DOM は Document Object Model の略で、HTML や XML などの構造化ドキュメントのデータを取得および操作するために提案された W3C (http://www.w3.org/DOM/) の標準形式です。このモデルは、ドキュメントを階層ツリー構造として表します。 HTML および XML のすべての要素はノードとみなされます。

DOM ベース XSS は、ドキュメント、特に HTML の DOM 構造の変更に基づいた XSS 活用手法です。

以下に具体的な例を見てみましょう。

Web サイトには、登録ページへの次の URL があります。

example.com/register.php?message=Please fill in the form

これにアクセスすると、非常に通常のフォームが表示されます。

この通知のソース コードをよく見ると、フォーム上の通知コンテンツに渡されるメッセージ パラメーターを簡単に推測できます。

JavaScript セグメントは、メッセージ パラメーターから値を取得して出力する役割を果たします。この緩い入力チェックにより、ユーザーをだまして危険な URL にアクセスさせる可能性は十分にあります。

キャストの代わりに:

message=Please fill in the form

次に送信します:

message=GenderMaleFemale

function show(){alert();}

すると、登録フォームは次のようになります。

ユーザーはこのような「通常の」フォームを疑うことはなく、性別を選択するとスクリプトが実行されます。

message パラメータで渡される値についてもう少し詳しく説明します。

GenderMaleFemale

function show(){alert();}

その主な目的は、select タグで onchage イベントが発生するたびに show() 関数を実行することですが、ここでの show() 関数は単にスクリプトが実行されたことを示すためにポップアップ表示されます。ただし、実際には、ハッカーはこの show() 関数を使用して、ユーザーの Cookie 値を所定のサーバーに送信するスクリプトを実行することがよくあります。読者は、ハッカーがどのようにこのリクエストを作成するかについて言及している記事「Reflected XSS」を参照することができます。

この例から 2 つの重要な結論が得られます。まず、悪意のあるコードは、select タグ内の値をクリックするとすぐに実行されました。これは、サーバーの応答を経由せずに、クライアント側で直接実行されたことを意味します。次に、渡されたスクリプトによって HTML 構造が変更されています。また、実際の悪用シナリオも確認できます。ユーザーをだまして悪意のあるコードが埋め込まれた URL にアクセスさせるという点では、DOM Based は Stored XSS よりも Reflected XSS にやや似ています。

次の図は、DOM ベースの XSS 攻撃手法を実装する各ステップを説明しています。

以下は、WhiteHat.vn フォーラムのメンバーが DOM ベースの XSS を介してエクスプロイトを実行しているビデオです。

幸運を！