第7章 エコーバック対策
スクリプト注入: #2 攻撃の解説

スクリプト注入攻撃

スクリプト注入（いわゆるクロスサイトスクリプティング）は、被害者のブラウザに悪意のスクリプト（主にJavaScriptのコード）が入り込み、ブラウザの内側からセキュリティ侵害が起こる問題である。

攻撃のメカニズム

スクリプト注入は、「攻撃者」「標的サイト」「被害者」の三者の間で、次のようなメカニズムによって起こる。

1. 攻撃ページ
   攻撃者は、スクリプト注入攻撃のHTMLページ（「攻撃ページ」）を用意する。攻撃者はこの攻撃ページを、被害者を騙して閲覧させるか、HTMLメールにて送りつける。
2. 標的プログラムの呼び出し
   この攻撃ページは、被害者がユーザとして日常アクセスしているあるひとつのWebサイト（「標的サイト」）の特定のプログラム（「標的プログラム」）を呼び出すよう作られている。このとき入力パラメータとして、悪意あるJavaScriptコード（「攻撃スクリプト」）がその標的プログラムに与えられるよう仕組まれている。
3. 標的として狙われるプログラム
   攻撃ページから呼び出される標的プログラムには、与えられた入力パラメータの文字列をそのままHTMLページ内に出力する─おうむ返しにする─ものが選ばれる。
4. 悪意のスクリプトの実行
   攻撃ページから投入されたHTTPリクエストに呼応して標的プログラム返されるレスポンスには、攻撃者が仕込んだ攻撃スクリプトが含まれており、これが被害者のブラウザの中で実行される。
5. スクリプトによる侵害
   被害者のブラウザの中で動作する攻撃スクリプトは、次のような侵害を行い得る。
   1. 不正なページに誘導して被害者を騙す。例えば、正規ページのリンクを書き換えて不正なページに誘導し、意図しない商品の購入等を行わせる。
   2. 偽のページを表示して被害者を騙す。例えば、偽のログインフォームを表示して被害者にパスワード入力を促し、入力内容を攻撃者が用意したWebサーバに報告する（アカウント乗っ取り）
   3. Cookieを勝手に設定する。例えば、標的サイトに被害者がログインする前の時点で、攻撃者にとって都合の良い値をそのサイトで今後セッション管理に使われるであろうCookieに設定する（セッションフィクセーション→セッション乗っ取り）
   4. Cookieを盗み出す。標的サイトに被害者がログインしている状況下で、そのサイトでいま使われているCookieの値を盗み出し、攻撃者が用意したWebサーバに報告する（セッションIDの捕捉→セッション乗っ取り）
   5. Hiddenに設定してある値を盗み出したり、任意の値を設定する。例えば、Hiddenに個人情報やクレジットカード情報等があればそれらを攻撃者が用意したWebサーバに報告する（重要情報の搾取）

スクリプトが動作する箇所

HTMLドキュメント内には、スクリプトを記述し実行できる箇所が数多く存在する。たとえばつぎのような箇所である（図25）。

1. <script>タグ等を用いたスクリプト直接記述
2. <script>タグ等を用いたスクリプトファイルURLのリモート参照
3. <img src="javascript:...">等、タグのURL属性中へのスクリプト直接記述
4. <div style="...;z:expression(...);...">等、タグのstyle属性中へのスクリプト直接記述
5. <span onmouseover="...">等、タグのイベントハンドラ属性中へのスクリプト直接記述
6. <a href="&{...};">等、タグ属性値におけるエンティティ参照内のスクリプト記述（Netscape 4.x で動作）

攻撃者は、スクリプトが実行されるこれらの箇所にJavaScriptプログラムの文字列をあてはめるか、何も無いところにこのような構文が作り出されるようデータを工夫して送り込んでくる。

図25: スクリプトが動作する箇所

攻撃文字列

攻撃者がWebアプリケーションプログラムにエコーバックさせるべく投入してくる攻撃文字列には多くのバリエーションがあり得る。その一部を挙げると、例えば次のようなものである。