検索

• [ Prev ]
• [ Next ]
• [ JavaScript ]

日記/2011/06/26/jQueryとXSSの勉強(1)関連メモ。

JavaScriptのDOM操作で文字列をDOM要素として出力する方法について、HTMLタグをエスケープしてくれるか調べてみた。
HTMLタグが混ざっている文字列をDOMのText要素として出力するということは、それ自体が違和感がある。
HTMLタグを使っているのならば、それぞれのタグに応じた要素を一つずつ組み立てる必要があるのでは？
そうではなく、あくまでも「文字列」としてHTMLタグを出力したい時、どうなるか、という実験。

結果：

HTMLタグのエスケープ無し

• HTML要素のinnerHTMLへの代入

HTMLタグのエスケープ有り

• Text要素のnodeValueへの代入
• document.createTextNode()
• jQuery.text()

検証環境：

OS : Win7Pro SP1 32bit 日本語版
ブラウザ：
 Firefox 5.0
 Chrome 12.0.742.100
 IE 9.0.1

検証コード：

<html>
<head>
<title>jQuery XSS Test</title>
<script type="text/javascript" src="./jquery-1.6.1.min.js"></script>
</head>
<body>
<script type="text/javascript">
function add_html_danger(msg)
{
    var p1 = document.getElementById("p1");
    p1.innerHTML = msg;
}
function add_html_safe1(msg)
{
    var p2 = document.getElementById("p2");
    p2.firstChild.nodeValue = msg;
}
function add_html_safe2(msg)
{
    var p2 = document.getElementById("p2");
    var t = document.createTextNode(msg);
    var c = p2.firstChild;
    p2.replaceChild(t, c);
}
function add_html_safe3(msg)
{
    $("#p2").text(msg);
}
</script>
 
<input type="button" value="innerHTML : danger" onClick="add_html_danger('<b>hello</b>');" /><br />
<input type="button" value="nodeValue : safe" onClick="add_html_safe1('<b>hello</b>');" /><br />
<input type="button" value="createTextNode and replaceChild : safe" onClick="add_html_safe2('<b>hello2</b>');" /><br />
<input type="button" value="jQuery.text() : safe" onClick="add_html_safe3('<b>hello3</b>');" /><br />
<hr />
result:<br />
<p id="p1">foobar</p>
<p id="p2">barbaz</p>
<hr />
<a href="#foo<b>bar</b>">hash!</a><br />
<hr />
after "hash!" link click:<br />
<input type="button" value="innerHTML : danger" onClick="add_html_danger(location.hash);" /><br />
</body>
</html>

innerTextは未検証。

• [ Prev ]
• [ Next ]
• [ Up ]
• [ JavaScript ]

• [ Prev ]
• [ Next ]
• [ JavaScript ]

JavaScript/各種DOM操作におけるHTMLタグのエスケープメモを書いたそもそものきっかけが "DOM based XSS" ということで、リンクメモ。

• [DOM Based Cross Site Scripting or XSS of the Third Kind] Web Security Articles - Web Application Security Consortium
  • http://www.webappsec.org/projects/articles/071105.shtml
• DOM Based XSS - OWASP
  • https://www.owasp.org/index.php/DOM_Based_XSS
• JavaScriptスクリプトに潜むXSSのぜい弱性も検出 - Googleが作ったWebセキュリティ・ツール「ratproxy」：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313784/
• あまり知られていない脆弱性：DOM Based XSSにご用心 : アークウェブ ビジネスブログ
  • http://www.ark-web.jp/blog/archives/2007/02/dom_based_xss.html

url?name=<b>foo</b>

が太字表示 → 要チェック

url#name=<b>foo</b>

が太字表示 → 要チェック＋サーバへのリクエストに"#"以降は含まれない！

url?link_href=javascript:alert()

どこかのリンク要素にそのまま出力 → 危険

• [ Prev ]
• [ Next ]
• [ Up ]
• [ JavaScript ]

• jQueryにおけるXSSを引き起こしやすい問題について
  • http://subtech.g.hatena.ne.jp/mala/20110624/1308881526

実験してみた：

<html>
<head>
<title>jQuery XSS Test</title>
<script type="text/javascript" src="./jquery-1.6.1.min.js"></script>
</head>
<body>
<script type="text/javascript">
function add_html(msg)
{
    $(msg).appendTo("body");
}
</script>
 
<input type="button" value="test1" onClick="add_html('<b>hello</b>');" /><br />
<a href="#foo<b>bar</b>">hash1</a><br />
<hr />
after "hash1" link click:<br />
<input type="button" value="test2" onClick="add_html(location.hash);" /><br />
<input type="button" value="test3" onClick="add_html(location.hash.substring(1));" /><br />
 
</body>
</html>

oops!

昨日の夜、会社から帰るとき、御茶ノ水駅で中央線豊田行の電車を見かけた。

御茶ノ水近くの某Webベンチャーでアルバイトをしていたのは2007-2008年にかけて。
あの頃は、毎日あの電車に乗って豊田まで帰っていた。

あれから4年近く経ち、今は反対側のホームで千葉/津田沼行の電車を待っている。

面白いなぁ。

• [ Prev ]
• [ Next ]
• [ 技術 ]

2011年6月現在、AndroidでHTTP通信でよく使われるコンポーネントは次の三種類。

• java.net パッケージのURLConnection系列(HttpURLConnection, HttpsURLConnection)
• apache.http パッケージ(Apache HttpClient)
• android.webkit.WebView コンポーネント

WebViewコンポーネントはCookieを自動的に処理してくれる。SQLite3のデータベースに、認証情報やForm入力値などと共に保存され永続化される。
本記事では残りの java.net, HttpClient でのCookieの取り扱いについて簡単にメモする。

Http(s)URLConnection 系でのCookieの取り扱い

JDKのCookie機能と同じ。CookieHandlerをベースとして、API Level 9以上であればデフォルト実装としてCookieManagerを利用出来る。

CookieHandler : JDK 1.5 以上, Android 1.0 (API Level 1) 以上
CookieManager : JDK 1.6 以上, Android 2.3 (API Level 9) 以上

CookieManagerではsecure属性もきちんと区別してくれる。
CookieHandlerについては上手くサンプルを動かせなかったため、secure属性の区別は未検証。

参考：

• 「Java SE 6完全攻略」第40回 Cookieを扱う その1 - Java技術最前線：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20070801/278817/
• 「Java SE 6完全攻略」第41回 Cookieを扱う その2 - Java技術最前線：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20070801/278820/
• Java 6で、HttpURLConnectionをクッキーに対応させる手軽な方法。 - 片っ端から忘れていけばいいじゃない。
  • http://0xc000013a.blog96.fc2.com/blog-entry-91.html

Apache HttpClient でのCookieの取り扱い

Apache HttpClientのTutorialドキュメント参照。

• HttpClient - HttpComponents HttpClient Overview
  • http://hc.apache.org/httpcomponents-client-ga/

Androidに含まれているHttpClientのバージョンは 4.0.beta前後らしい。
プラットフォームの互換性維持のため、Apache側とはアップデートを同期出来ていない模様。

• Old Nabble - HttpComponents-Dev - HttpClient in Android
  • http://old.nabble.com/HttpClient-in-Android-td27915358.html

実際、 現在ログイン中のユーザーは、指定されたデータ(ID=981)にアクセスする権限がありません。 でも紹介しているようにApache側とインターフェイスにズレが生じている。

Http(s)URLConnection と HttpClient のどちらがオススメか？

個人的なオススメ：

• 静的リソースの単純なGETアクセス : Http(s)URLConnection
• それ以外のHTTP通信 : HttpClient
  • POSTメソッドを含むAPI呼び出しを頻繁に行うケース
  • CookieなどHTTPヘッダーに関連した処理を必要とするケース

HttpClientの方がHTTPを強く意識しているので、エンコード・デコード系のメソッドも充実しているしHTTPに素直に触れるような構成になっている。API呼び出しのように自分でパラメータを組み立てたり、HTTPヘッダーを細かく操作する場合はHttpClientをお薦めしたい。
逆にHttp(s)URLConnectionをお薦め出来る場面は、静的リソースを単純にGETするだけで 4xxや5xx系をまとめてエラーとして扱って良い場合に限定させてもらう。

とはいえ、これは個人的にHttp(s)URLConnectionに対して「良い思い出」が無いせいでもある。
今現在Http(s)URLConnectionでも用が足りているのであれば、強いてHttpClientに乗り換える理由は無い。

• [ Prev ]
• [ Next ]
• [ Up ]
• [ 技術 ]

久しぶりにhttpd.confとかmod_rewrite触っていたら思いっきりハマってしまったのでメモ。

• [mod_rewrite] RewriteEngine On にすると 403 Forbidden のエラーが発生する｜雑記｜php plus MySQL
  • http://php.birdlab.com/memo/16

mod_rewriteはFollowSymLinks必須。ただし、ディレクトリごとに有効・無効を切り替えたい場合。

下記の、比較的信頼性が高いと思われるドキュメントですら、これについてはわずか1-2行、しかもドキュメントの冒頭ではなく、中途半端に最後のほうであったり真ん中辺りなので、読み落とす可能性は高い。

• "mod_rewrite モジュール URL 書き換えエンジン"
  • http://www.net-newbie.com/trans/mod_rewrite.html
• "A Users Guide to URL Rewriting with the Apache Webserver"(日本語)
  • http://japache.infoscience.co.jp/rewriteguide/

ApacheHTTPDの公式ドキュメントでも最後の方に "Note: Enabling rewrites in per-directory context" として、太字ではあるが、さりげなく書いてあるだけ。もっと最初の方に書いておいて欲しいよなぁ・・・。

• mod_rewrite - Apache HTTP Server
  • http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html

WindowsバイナリでHTTPSを設定するメモ。

検証環境：

Windows 7 Professional SP1 32bit 日本語版
Apache/2.0.64 + mod_ssl, openssl

元ネタ：

• Windows に Apache2 SSL をインストール
  • http://www.gadgety.net/shin/tips/win/apache2.html

１．OpenSSLに対応したWindows用のApache HTTPDサーバーのバイナリを入手。

最近ではApache HTTPDの本家サイトからmod_ssl + openssl 付きのWin32バイナリを入手できますので、それを使う。
あとは適宜インストールする。

２．証明書作成

詳しい解説は上記元ネタ、或いは適宜Webで検索。

openssl.exe : (Apache)\bin\openssl.exe
openssl.cnf : (Apache)\conf\openssl.cnf

Vista, Win7での注意点：以下のコマンドライン操作は、管理者として実行したコマンドプロンプト上で行う。

> cd ...(Apache)
> bin\openssl req -config conf\openssl.cnf -new -out localhost.csr
...
> bin\openssl rsa -in privkey.pem -out localhost.key
...
> bin\openssl x509 -in localhost.csr -out localhost.crt -req -signkey localhost.key -days 3650

以下のファイルが生成されているので、"conf\ssl" フォルダなどにまとめておく。

privkey.pem
localhost.csr
localhost.crt
localhost.key

もしVista, Win7上で「管理者として実行」ではない通常のコマンドプロンプト上で操作した場合は、次のフォルダ以下に生成される。

C:\Users\(ユーザー名)\AppData\Local\VirtualStore\Program Files\...

適宜削除してやり直すなり、そのまま本来のフォルダに移すなりする。

３．Apacheの設定

mod_ssl.soをLoadModuleする。

LoadModule ssl_module modules/mod_ssl.so

SSLCertificateFileとSSLCertificateKeyFileに適宜設定する。

SSLCertificateFile conf/ssl/localhost.crt
SSLCertificateKeyFile conf/ssl/localhost.key

あとは適当にhttpd.confやコマンドラインオプションを調整して動くようにすればOK。
"<IfDefine SSL>"とかでssl.confをまるごと囲ってる場合などは "-D SSL" をコマンドラインに混ぜておく。"<IfDefine SSL>"を外してしまえば "-D SSL" は不要。
Apacheも2.0と2.2系列とでは設定ファイルの構成が変わってきているので、その辺りの匙加減は適宜調整。

• [ Prev ]
• [ Next ]
• [ 技術 ]

Androidのセキュリティ機能や、安全なスマートフォンアプリ開発のための参考リンク集。

• JSSEC 日本スマートフォンセキュリティフォーラム
  • http://www.jssec.org/
• Android のセキュリティーを理解する (IBM Developer Works)
  • http://www.ibm.com/developerworks/jp/xml/library/x-androidsecurity/
• McAfee Foundstone Whitepaper
  • Penetration Testing Android Applications
    • http://www.mcafee.com/us/resources/white-papers/foundstone/wp-pen-testing-android-apps.pdf
  • Penetration Testing for iPhone/iPad Applications
    • http://www.mcafee.com/us/resources/white-papers/foundstone/wp-pen-testing-iphone-ipad-apps.pdf
• Developing Secure Mobile Applications for Android | White Papers | iSEC Partners
  • http://www.isecpartners.com/white-papers/2010/7/22/developing-secure-mobile-applications-for-android.html
• Exploratory Android Surgery   - Presentations | iSEC Partners
  • http://www.isecpartners.com/presentations/exploratory-android-surgery.html
• Secure Development on iOS | Presentations | iSEC Partners
  • http://www.isecpartners.com/presentations/secure-development-on-ios.html
• Fuzzing the Phone in your Phone (Black Hat USA 2009)
  • http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf
• Android Hax
  • http://jon.oberheide.org/files/summercon10-androidhax-jonoberheide.pdf

iSEC提供の解析系Androidアプリ：API Level 1前提のソースのzipで公開されているので、利用するにはAndroid SDKを導入してビルドする必要がある。

• Manifest Explorer | Mobile Security Tools | iSEC Partners
  • http://www.isecpartners.com/mobile-security-tools/manifest-explorer.html
• Package Play | Mobile Security Tools | iSEC Partners
  • http://www.isecpartners.com/mobile-security-tools/package-play.html
• Intent Sniffer | Mobile Security Tools | iSEC Partners
  • http://www.isecpartners.com/mobile-security-tools/intent-sniffer.html
• Intent Fuzzer | Mobile Security Tools | iSEC Partners
  • http://www.isecpartners.com/mobile-security-tools/intent-fuzzer.html

こんなのもあった。

• TaintDroid: Realtime Privacy Monitoring on Smartphones
  • http://appanalysis.org/index.html
    • Pennsylvania State University が結構頑張ってる感じ。
• Android開発品質向上ソリューション｜テクマトリックス株式会社
  • http://www.techmatrix.co.jp/quality/android/index.html
• セキュリティ検証サービス｜Android　検証センター
  • http://www.proveq.jp/android/android-TSS-Security.html

• [ Prev ]
• [ Next ]
• [ Up ]
• [ 技術 ]

• [ Prev ]
• [ Next ]
• [ 技術 ]

認証が必要な共有フォルダにアクセスしても、認証ダイアログが表示されず、アクセスエラーになってしまう場合についてメモ。

Windowsの認証の仕組みは大分忘れてしまっているので、かなり曖昧に書いてますが、とにかく上記のケースについて。
共有フォルダはWindows Serverでバージョンは2003だか2008だか、とりあえず新しめ。
そのファイルサーバーではドメインコントローラも動いてる？らしい。
他のWinXPでアクセスしたときは認証ダイアログが表示あれ、ドメイン名\ユーザー名 形式でアクセスできた。
ただしドメインには参加せず、みんなWORKGROUPワークグループで使ってる。
各PCのローカルアカウントは、ドメインのアカウントとは別にみんな好き勝手なユーザー名で設定してる。

で、Win7/64bitおよびXPModeから共有フォルダにアクセスしても認証ダイアログが表示されない。

原因がよく分からないのでとりあえず解決した手段をメモ。これが本来的に正しい解法なのかも不明。

• Win7 → "資格情報の管理" から手動でドメインのアカウントを追加。
  • 自動ログオン用にパスワード、証明書などの資格情報を格納する
    • http://windows.microsoft.com/ja-JP/windows7/Store-passwords-certificates-and-other-credentials-for-automatic-logon
• WinXP → "ユーザー名およびパスワードの保存" でドメインのアカウントを手動追加。
  • [ユーザー名およびパスワードの保存] の動作
    • http://support.microsoft.com/kb/281660/ja

他：

• 資格情報マネージャーについて（70-680試験対策） « MCTの憂鬱
  • http://naonao71.wordpress.com/2009/11/11/%E8%B3%87%E6%A0%BC%E6%83%85%E5%A0%B1%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%83%BC%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%EF%BC%8870-680%E8%A9%A6%E9%A8%93%E5%AF%BE%E7%AD%96%EF%BC%89/

• [ Prev ]
• [ Next ]
• [ Up ]
• [ 技術 ]

• [ Prev ]
• [ Next ]
• [ PHP ]

PECL OAuth:

• http://pecl.php.net/package/oauth

Windowsバイナリ：

• http://downloads.php.net/pierre/

PECL OAuthはcURLを使ってHTTP通信を行う。
そのため HTTP Proxy の設定もcURLのレイヤーが対象となる。

方法１：Cのソースを直接書き換え、cURLのProxy設定処理を追加する。
参考：

• マキノ式ブログ » PECLのoauthでproxyを利用
  • http://blog.makino-style.org/item/283

方法２：環境変数でcURLにHTTP Proxyを伝える。
参考：

• libcurl - programming tutorial
  • http://curl.haxx.se/libcurl/c/libcurl-tutorial.html
    • "Proxies" の項で "http_proxy" による設定方法が書かれている。

どちらの方法を採るかはいつものようにケース・バイ・ケースで。

• [ Prev ]
• [ Next ]
• [ PHP ]