第5回 [さらに気になる]JSONの守り方
はせがわようすけ
ネットエージェント株式会社
2009/10/14
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部)
次は、JSONにおけるセキュリティ対策
- - PR -
皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。
JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。
まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。
[サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=utf-8 { "name" : "Yosuke HASEGAWA", "email" : "hasegawa@utf-8.jp" } |
[クライアント側] if( window.XMLHttpRequest ){
var xhr = new XMLHttpRequest();
xhr.open( "get", "http://example.com/data.json", true );
xhr.onreadystatechange = function(){
if( xhr.readyState == 4 && xhr.status == 200 ){
var json = eval( "(" + xhr.responseText + ")" ); |
では、JSONにはどのような注意点があり、どう対策すればいいのかを見ていきましょう。
JSON内の機密情報
JSONは、そのままではクロスドメインでのデータの受け渡しができません。そのため、JSONを加工してクロスドメインでも扱えるようにしたものが「JSONP」であるというのは前回説明したとおりです。
クロスドメインでのアクセスができないのであれば、JSONに機密情報を含めても問題なし……と考えたいところですが、攻撃者はあらゆるクロスドメイン制約を打ち破ることを常に考えています。実際に、JSONのクロスドメイン制約についても回避する方法がいくつか考えられています。
JSONのクロスドメイン制約を回避する攻撃方法としては、例えば__defineSetter__を使う方法や、UTF-7を使う方法などが知られています。具体的な攻撃方法の詳細は省略しますが、いずれの方法でも、JSONを攻撃者サイト上で<script>要素を使ってJavaScriptソースとして読み込むことで、Same Origin Policyを回避し、攻撃者の用意したJavaScriptから、JSON内のデータへのアクセスを可能にしています。
XMLHttpRequestを使って、正規のWebアプリケーションのみJSONを読み込めるようにし、攻撃者サイトからの<script>によるJavaScriptソースとしての読み込みを防ぐためにはいくつかの方法があります。その場合、POSTのみに対応し、GETでのリクエストではJSONを返さないという対策をお勧めします。これは、ほかの方法に比べ副作用が小さく、後に示すJSONによるXSSへの対策にもなるからです。
それ以外の対策としては、XMLHttpRequestからのリクエストを明示するヘッダを付与するという方法もあります。
xhr.setRequestHeader( "X-Request-Source", "XMLHttpRequest" ); |
XMLHttpRequestによる正規のアプリケーションからの要求では、X-Request-Sourceリクエストヘッダが付与されますが、<script>などによる読み込みではヘッダが付与されません。サーバ側でリクエストヘッダの有無を確認し、正規の要求の場合のみJSONを返すようにします。
JSONによるXSS
前回解説したJSONPの場合と同様に、JSONデータ内にHTML断片が含まれる場合、JSONに直接ブラウザでアクセスしたときにXSSが発生する可能性があります。
{ "name" : "<body onload=alert(1)>" } |
このようなJSONをInternet Explorer(以下、IE)で直接開いた場合には、その内容からHTMLと判断され、攻撃者の仕組んだJavaScriptが動作する可能性があります(この例ではalertが表示されます)。
| 【Content-Typeに関する参考】 教科書に載らないWebアプリケーションセキュリティ(2) [無視できない]IEのContent-Type無視 http://www.atmarkit.co.jp/fcoding/articles/webapp/02/webapp02a.html |
対策としても前回同様、文字列を生成する場合には、半角英数字(a-zA-Z0-9)以外の文字はすべて\uXXXXの形式でエスケープし、文字列以外のtrue/false/null/数値を生成する場合には指定された値および数値などに合致しているか確認すればよいでしょう。
また、前述のようにPOSTのみに対応し、GETでのリクエストではJSONを返さないようにしておくことで、万が一エスケープ漏れがあった場合でもXSSを防ぐことができます。
1/3 |
| Index | |
| [さらに気になる]JSONの守り方 | |
| Page1 次は、JSONにおけるセキュリティ対策 JSON内の機密情報 JSONによるXSS |
|
| Page2 JSON評価時の危険性 クロスドメインでのデータアクセス |
|
| Page3 XMLHttpRequest Level 2、XDomainRequest利用の注意点は |
|
| 教科書に載らないWebアプリケーションセキュリティ |
| Coding Edgeお勧め記事 |
| いまさらアルゴリズムを学ぶ意味 コーディングに役立つ! アルゴリズムの基本(1) コンピュータに「3の倍数と3の付く数字」を判断させるにはどうしたらいいか。発想力を鍛えよう |
|
| Zope 3の魅力に迫る Zope 3とは何ぞや?(1) Pythonで書かれたWebアプリケーションフレームワーク「Zope 3」。ほかのソフトウェアとは一体何が違っているのか? |
|
| 貧弱環境プログラミングのススメ 柴田 淳のコーディング天国 高性能なIT機器に囲まれた環境でコンピュータの動作原理に触れることは可能だろうか。貧弱なPC上にビットマップの直線をどうやって引く? |
|
| Haskellプログラミングの楽しみ方 のんびりHaskell(1) 関数型言語に分類されるHaskell。C言語などの手続き型言語とまったく異なるプログラミングの世界に踏み出してみよう |
|
| ちょっと変わったLisp入門 Gaucheでメタプログラミング(1) Lispの一種であるScheme。いくつかある処理系の中でも気軽にスクリプトを書けるGaucheでLispの世界を体験してみよう |
|
- [ニッチ]E4Xで攻撃できる? できない? (2010/2/8)
ECMAScriptでXMLを扱う「E4X」。ニッチかもしれませんが、攻撃の可能性があることだけは知っておきましょう - GAE上でLL+RDBアプリを作ろう (2010/2/3)
開発者にとって魅力的な環境に映るGoogle App Engine。これまでの開発手法を変えずに使えないだろうか - 豆まきユースケースの包含 (2010/2/1)
デバッグが上手くいかず、気分転換にもらった豆をポリポリ。節分のユースケースを考え始めます - Apacheで仮想ホストを動かそう (2010/1/29)
1台のApacheサーバで、複数の公開サイトを提供するには? 仮想ホストの設定の意味を知ろう
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
お勧め求人情報

**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |

| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |

| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |

| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |

| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |







