XSSとCSRF

[XSS]
XSSとは?
XSS(Cross-site Scripting)は、SQL注入とともにWeb上で最も基本的な脆弱性攻撃方法であり、悪意のあるユーザーが攻撃しようとするサイトにスクリプトを加える技術を指す.
主に、サイト間スクリプトと呼ばれる他のWebサイトと情報を交換する方法で動作します.
OWASPは、「サイト間スクリプト(XSS)は、アプリケーションがブラウザに送信したページ上で発生し、ユーザが入力したデータを検証しない場合、または出力時に危険なデータを無効にしない場合」を示す.
Webアプリケーションがユーザーが入力した値を正しくチェックしていない場合、このような状況が発生します.攻撃に成功すると、ログインサイトのユーザーは挿入されたコードを実行し、Cookieやセッションタグなどの機密情報を取得します.
攻撃方法によってStored XSSとReflected XSSに分けられる.Stored XSSは、サイト掲示板やコメント、ニックネームなどのスクリプトをサーバに格納して実行する方式であり、Reflected XSSは通常、サーバにスクリプトを直接格納するのではなく、URLパラメータ(特にGET方式)にスクリプトを追加する.
XSS攻撃

スクリプトラベルを使用してJavaScript

を実行

<script>alert('hello world');</script>

リンクラベルを使用してJavaScript

を実行

<a href="javascript:alert('hello world')">링크</a>

イベント属性でJavaScript

を実行

<img src='#' onerror="alert('hello world')"/>

ランダムタグのイベント属性でJavaScript(イベント属性リスト)

を実行

<human oncopy="alert('hello world')">휴먼</human>

の一部ブラウザではjavascript:リンク間にスペース文字を含めることができ、HTML符号化で復号内容を出力することができ、HTMLコードラベルを挿入することでjavascript

を実行する.

<a href="javascript:alert('hello world')">링크</a>

document.クッキーなどの単語をブロックする場合は、JavaScript乱読(exaaencode)のタグを挿入してスクリプト

を実行します.

ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻ //*´∇｀*/ ['_']; o=(ﾟｰﾟ) =_=3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: '_' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +'_') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ '_')[o^_^o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +'_')[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ==3) +'_') [c^_^o];(ﾟДﾟ) ['c'] = ((ﾟДﾟ)+'_') [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) ['o'] = ((ﾟДﾟ)+'_') [ﾟΘﾟ];(ﾟoﾟ)=(ﾟДﾟ) ['c']+(ﾟДﾟ) ['o']+(ﾟωﾟﾉ +'_')[ﾟΘﾟ]+ ((ﾟωﾟﾉ==3) +'_') [ﾟｰﾟ] + ((ﾟДﾟ) +'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ ((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [(ﾟｰﾟ) - (ﾟΘﾟ)]+(ﾟДﾟ) ['c']+((ﾟДﾟ)+'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ (ﾟДﾟ) ['o']+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ];(ﾟДﾟ) ['_'] =(o^_^o) [ﾟoﾟ] [ﾟoﾟ];(ﾟεﾟ)=((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟДﾟ) .ﾟДﾟﾉ+((ﾟДﾟ)+'_') [(ﾟｰﾟ) + (ﾟｰﾟ)]+((ﾟｰﾟ==3) +'_') [o^_^o -ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟωﾟﾉ +'_') [ﾟΘﾟ]; (ﾟｰﾟ)+=(ﾟΘﾟ); (ﾟДﾟ)[ﾟεﾟ]='\\'; (ﾟДﾟ).ﾟΘﾟﾉ=(ﾟДﾟ+ ﾟｰﾟ)[o^_^o -(ﾟΘﾟ)];(oﾟｰﾟo)=(ﾟωﾟﾉ +'_')[c^_^o];(ﾟДﾟ) [ﾟoﾟ]='\"';(ﾟДﾟ) ['_'] ( (ﾟДﾟ) ['_'] (ﾟεﾟ+(ﾟДﾟ)[ﾟoﾟ]+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟΘﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟoﾟ]) (ﾟΘﾟ)) ('_');

XSS防御

入力値の検証
データを入力する前に、または入力したデータをサーバに転送する前にフロントで検証することが望ましい.

入力データの長さは

に制限.

入力文字またはフォーマットが

であることを確認する.

指定ルール以外の入力値

をキャンセルする.

出力値の検証
解釈の余地のある特殊文字を符号化して表示する必要があります.

セキュリティ・ライブラリの使用
OWASPAntisamyやNAVERLucy XSS Filterなどの信頼性の高いライブラリを使用します.

httponlyプロパティの適用
HttpOnlyはJavaScriptのドキュメントです.クッキーを使用してクッキーに接続するオプションを防止します.

[CSRF]
CSRFとは?
CSRF(Cross-Site Request Forgery)は、サイトユーザー(犠牲者)が自分の意思を顧みず、攻撃者の意図した行為(修正、削除、登録など)を特定サイトへの攻撃を要求し、ハッカー(攻撃者)がCSRFを通じてユーザーの権限を盗用し、思わぬ機能を実行させるものである.
XSSを使用した攻撃がユーザに対してウェブサイトを信頼する場合、サイト間の要求偽造は、あるウェブサイトに対してユーザを信頼するブラウザの状態である.
CSRF攻撃
ユーザがウェブサイトにログインすると、サイト間に挿入された攻撃コードの偽造を要求するページが開き、攻撃されたウェブサイトは、偽造された攻撃コマンドが信頼できるユーザから発行されたと判断し、攻撃にさらされる.
CSRF防御

Refer検査
HTTPヘッダのRefer情報を確認して、要求が信頼できるページから来たかどうかを確認します.
ただしrefer情報は操作可能です

Security Tokenの使用
ログインしたプレイヤーにトークンをリリースし、リクエストを送信するとともに確認を送信します.

CAPTCHA
特定の要求を処理するときは、CAPTCHA単語が要求とともに送信されていることを確認し、要求が必要なページで送信されていることを確認します.

XSSの脆弱性がある場合、CSRF攻撃に脆弱性が生じる可能性があります.

ソース
https://medium.com/humanscape-tech/xss%EC%99%80-csrf-fe0e219b4c38
https://gogomalibu.tistory.com/163
https://lucete1230-cyberpolice.tistory.com/23