WebGoatを用いたクロスサイトスクリプティング #01
クロスサイトスクリプティングとは
今回は,「SQLインジェクション」に引き続き「クロスサイトスクリプティング」をテーマに問題を解いていきます.
クロスサイトスクリプティング(Cross-Site Scripting/XSS)とは,動的Webページが情報処理を行う際に,意図しないスクリプトを混入させて予期しない表示や動作を行わせる攻撃.
LAB: Cross Site Scripting
初めに「LAB: Cross Site Scripting」を解きます.「SQLインジェクション」の際と同様にOracle VM VirtualBoxを開き,OWASP-bwaを起動します.ポップアップが出てくるので,IPアドレスを確認します.その内容をブラウザ(firefox)に入力して,OWASP BWAのページが開けたらOWASP WebGoatを選択します.WebGoatのページの目次から,「Cross-Site Scripting(XSS)」の中の「LAB: Cross Site Scripting」を開きましょう.詳細はリンクを参照してください.この問題は全部で4つのステージで構成されています.今回は例題として,Stage1及びStage5を扱います.
- stage1: Stored XSS
- stage2: Block Stored XSS using Input Validation
- stage3: Stored XSS Revisited
- stage4: Block Stored XSS using Output Validation
- stage5: Reflected XSS
- stage6: Blocked Reflected XSS
Stage1
Stored XSS(蓄積型XSS)とは,元のWebサイトが持っている情報や入力フォームを活用した攻撃.正常な動作をしなくなるようなスクリプトを,入力フォーム等に書き込む,という手法が採られる.
問題
ステージ1では,Stored XSSを用いて,「Jerry」のプロフィールに書かれている住所の「Street」の入力フィールドを書き換えることが目標です.攻撃者はTomと仮定します.また,各アカウントのパスワードは,ユーザーの名前(ファーストネーム)を小文字にしたものです.
解答
Stored XSS
- Tomのアカウントに入ります.パスワードは「tom」です.
- Tomのプロフィール情報を見るために「ViewProfile」ボタンをクリックします.
- Tomのプロフィール情報のうち「Street」の欄を編集するために,「EditProfile」ボタンをクリックします.
- プロフィールを開くと下のようになっていることを確認します.
-
住所(Street)の入力フィールドに
"><script>alert("bomb!")</script>
を書き加えます. -
住所(Street)の入力フィールドに書き加え終わったら,プロフィール設定をアップデートするために,「UpdateProfile」ボタンをクリックします.
-
プロフィールをアップデートすると,下のような「bomb!」と書かれたポップアップが表示されるので「OK」を押します.
-
プロフィールをアップデートしたら,Tomのアカウントからログアウトするために「Logout」ボタンをクリックします.
Stored XSSが成功したかの確認
- 確認として,Jerry Mouseのアカウントに入ります.パスワードは「jerry」です.
- Jerryのアカウントに入れたら,Tomのプロフィールを見るために「ViewProfile」のボタンをクリックしてみます.
- 下のように「bomb!」と表示されればStage1はクリアです.