セキュリティ小ネタ二本

rootkit にやられた話img.onerror の話

自己紹介

• 酒井一晃 (id:send)• 最近は JavaScript 書いたり Ruby(Sinatra)

書いたりしています。• http://tako3.com/http://d.hatena.ne.jp/send/

突然ですが

脆弱性突かれたことあります

か？

一番印象に残ってるもの

rootkit

何が起こった？

root や admin アカウントが

使えない

sudo 出来るアカウント一つだけ残ってた

ls とか ps とかどうせ

改竄されてる

別バイナリ持ってきて

調査

やっぱりなんかいた

すぐに下りないシステム停止

許可

変なプロセスはとりあえず殺しとけ

改竄されたコマンド

調査

chattr されてた

改竄対象を元に戻す

後日 OS 再インストール

運用の全体的な見直し

改竄検知系システムの導入

とにかくやられた後が

大変

まとめ

舐めて掛からず先に出来ることやった方が楽

守るには知識が少しでも多い

ほうが楽

次に

脆弱性産み出す鬼子みたいな

仕様

文字コードではUTF-7

HTML では<XMP>

JS 系では？

location.hashとか

個人的にはimg.onerror

<img src="not_found.jp

g" onerror="alert('XS

S!')">

src 属性評価後すぐ発火

img.src = “not_found.jpg”

// ここ

何故 appendChild

するまで待てない……

とはいえJSDeferred はこれを上手に利用してる

普通外部ソースをイベントハンドラに突っ込まないので問題な

い

怖いケース

外部ソースからHTMLDocument

作りたい

Range#createContextualFragmentとかそういうの

ブラウザや手法によって

挙動が全然違う

img.onerror/onload を

発火させないのが難しい

script 系全部除去が

一番楽

そうも行かないケース

OpenSocial ガジェット動かしたい

とか

どうしよう？

今のところクロスブラウザでこの手の手法は必要なさそう

関係ありそうな人達

ブラウザ拡張開発者

JS ベースのアプリ開発者

(PhoneGap 使ってる人とか？ )

個別対策はこの辺を参考に http://nanto.asablo.jp/blog/2009/10/29/4660197

http://d.hatena.ne.jp/send/20100409/p1

まとめ

img.onerror/onload

こわい