金利0無利息キャッシング – キャッシングできます

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか

18:28 |

XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。

XSSを通してパスワードを盗むことができるのか？

• 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい)
• メールアドレス変更+パスワード再送で現在使っているパスワードが返ってくるケース(そういう機能があるサービスはおかしい)
• パスワード取得はできないが、メールアドレス変更+パスワード再設定でパスワード上書きができるケースは、よくある。
  • リスクは 現在のパスワードの取得ができる >>> パスワードの上書きができる
  • 上書きであれば、アカウントが使えなくなった場合にユーザーが気付くことが出来る
  • パスワードの使い回しをしていた場合に乗っ取られるのがそのサービスに限定される
  • 「パスワードが変更されたこと」はサービス提供者側にログが残るが、パスワードが盗まれたことはログが残らない
• XSSでニセのログインフォームを作ってユーザーを騙すことが出来れば、すべてのブラウザでパスワードを盗める
  • 最近のブラウザだとhistory.replaceStateによって「アドレスバーに表示されるURLも含めて」改変することが可能になっている
• ログインフォーム自体にXSSがあって、フォームの送り先が変更されていたり悪意のあるscriptが混入していることに気づかずにユーザーがログインするケース
• ユーザーがパスワードを記憶させていて、かつ、パスワードマネージャがパスワードを自動入力するような実装になっていればパスワードを盗める
  • XSSでニセのログインフォームを作って自動入力されてしまうようなケース(ただしJavaScriptで動的に追加したフォームには自動入力されない、はず)
  • iframeで「正規の」パスワード入力フォームを読み込んでDOMを使って参照可能なケース(例えばiframe.contentWindow.document.forms[0].password.value)

Webアプリ開発者側で出来る対策

• パスワードはパスワードを入力する専用のドメイン(サブドメイン)で行うようにして
• そのドメインではXSSがないように慎重に、余計な機能を作らないようにする。
• パスワード入力する画面はフレーム内やポップアップウィンドウで参照されないように制限をかける
  • X-Frame-Options: DENY, unless(window.top==window.self && window.opener==null) throw error;
• 同一ドメインにパスワード入力させるフォームがある場合、ログイン中のユーザーにはパスワード入力画面を表示させない、表示する場合はautocomplete=offにする
  • ただしXSSで「ログアウトさせた上で」ログインフォームを表示させるということが多分できる。

パスワードマネージャの実装

• 1. ユーザーが何か操作をするまでパスワードを自動入力しないもの
• 2. 表示した段階でユーザー名やパスワードを自動入力するもの

があります。前者はIE, Operaで、後者はFirefox, Safari, Google Chromeです。

XSSがあった場合の通常のリスクは「そのドメイン上で任意のJavaScriptが実行可能」で、本人確認のためのパスワード入力を求められたりしたら、攻撃者が知りえない情報をJavaScriptで自動入力することは出来ないので、それ以上のことが出来ない。ただし、出来の悪いパスワードマネージャを使っている+XSSがあるドメイン上でパスワードを入力させている+ユーザーがそのドメイン上でパスワードを保存している、という場合、攻撃者がパスワードを取得して外部に送ったり、パスワードの入力が必要な操作を突破できる可能性がある。不安を煽るのが目的ではないけれど、そういったリスクがあることは、予め知っておいたほうが良いだろう。

IEやOperaのパスワードマネージャの実装のほうが優れているかというと、まあ確かに自動入力しないことによって、XSSや悪意のあるuserscriptやページの内容まるごと送るようなブックマークレットなどに対してパスワードが渡される可能性が減るだろう。ただし、パスワードが自動入力されてからフォームが送信して画面遷移するまでのタイミングで、フォームの内容を読み取ることはできる。

FirefoxのSecure loginというaddonが「XSSでパスワードが盗まれる」という問題について考え、対策を実装している。

• https://addons.mozilla.org/ja/firefox/addon/secure-login/
• http://securelogin.mozdev.org/drupal/content/javascript-protection

• JavaScriptプロテクションという機能を有効にすると、パスワードをフォームに入力せずにログイン用のURLに直接リクエストを送るようになっている
• 入力から画面遷移までのタイミングで悪意のあるscriptからフォームの内容を読み取られるのを防ぐ
• フォームをJavaScriptで加工してリクエストを生成するようなケースで、うまく動かなくなるだろう
  • 典型的にはクライアントサイドでパスワードをハッシュ化した上で送るとか、onsubmitのタイミングでtoken付加するとか、そういう事をやってる場合
  • そういうケースのためにJavaScriptプロテクション機能を除外するURLを指定できる

参考文献

• http://d.hatena.ne.jp/ockeghem/20070403
• http://d.hatena.ne.jp/ockeghem/20070604/1180917797
• http://d.hatena.ne.jp/monjudoh/20100922/1285124379
• https://bugzilla.mozilla.org/show_bug.cgi?id=360493
• https://bugzilla.mozilla.org/show_bug.cgi?id=443345 : JavaScriptからinput type=password読むときに警告出せば？
• https://bugzilla.mozilla.org/show_bug.cgi?id=610997 : クリックジャッキングで強制ログインできるんじゃね？