第5回 [さらに気になる]JSONの守り方
はせがわようすけ
ネットエージェント株式会社
2009/10/14
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部)
次は、JSONにおけるセキュリティ対策
- - PR -
皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。
JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。
まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。
[サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=utf-8 { "name" : "Yosuke HASEGAWA", "email" : "hasegawa@utf-8.jp" } |
[クライアント側] if( window.XMLHttpRequest ){
var xhr = new XMLHttpRequest();
xhr.open( "get", "http://example.com/data.json", true );
xhr.onreadystatechange = function(){
if( xhr.readyState == 4 && xhr.status == 200 ){
var json = eval( "(" + xhr.responseText + ")" ); |
では、JSONにはどのような注意点があり、どう対策すればいいのかを見ていきましょう。
JSON内の機密情報
JSONは、そのままではクロスドメインでのデータの受け渡しができません。そのため、JSONを加工してクロスドメインでも扱えるようにしたものが「JSONP」であるというのは前回説明したとおりです。
クロスドメインでのアクセスができないのであれば、JSONに機密情報を含めても問題なし……と考えたいところですが、攻撃者はあらゆるクロスドメイン制約を打ち破ることを常に考えています。実際に、JSONのクロスドメイン制約についても回避する方法がいくつか考えられています。
JSONのクロスドメイン制約を回避する攻撃方法としては、例えば__defineSetter__を使う方法や、UTF-7を使う方法などが知られています。具体的な攻撃方法の詳細は省略しますが、いずれの方法でも、JSONを攻撃者サイト上で<script>要素を使ってJavaScriptソースとして読み込むことで、Same Origin Policyを回避し、攻撃者の用意したJavaScriptから、JSON内のデータへのアクセスを可能にしています。
XMLHttpRequestを使って、正規のWebアプリケーションのみJSONを読み込めるようにし、攻撃者サイトからの<script>によるJavaScriptソースとしての読み込みを防ぐためにはいくつかの方法があります。その場合、POSTのみに対応し、GETでのリクエストではJSONを返さないという対策をお勧めします。これは、ほかの方法に比べ副作用が小さく、後に示すJSONによるXSSへの対策にもなるからです。
それ以外の対策としては、XMLHttpRequestからのリクエストを明示するヘッダを付与するという方法もあります。
xhr.setRequestHeader( "X-Request-Source", "XMLHttpRequest" ); |
XMLHttpRequestによる正規のアプリケーションからの要求では、X-Request-Sourceリクエストヘッダが付与されますが、<script>などによる読み込みではヘッダが付与されません。サーバ側でリクエストヘッダの有無を確認し、正規の要求の場合のみJSONを返すようにします。
JSONによるXSS
前回解説したJSONPの場合と同様に、JSONデータ内にHTML断片が含まれる場合、JSONに直接ブラウザでアクセスしたときにXSSが発生する可能性があります。
{ "name" : "<body onload=alert(1)>" } |
このようなJSONをInternet Explorer(以下、IE)で直接開いた場合には、その内容からHTMLと判断され、攻撃者の仕組んだJavaScriptが動作する可能性があります(この例ではalertが表示されます)。
| 【Content-Typeに関する参考】 教科書に載らないWebアプリケーションセキュリティ(2) [無視できない]IEのContent-Type無視 http://www.atmarkit.co.jp/fcoding/articles/webapp/02/webapp02a.html |
対策としても前回同様、文字列を生成する場合には、半角英数字(a-zA-Z0-9)以外の文字はすべて\uXXXXの形式でエスケープし、文字列以外のtrue/false/null/数値を生成する場合には指定された値および数値などに合致しているか確認すればよいでしょう。
また、前述のようにPOSTのみに対応し、GETでのリクエストではJSONを返さないようにしておくことで、万が一エスケープ漏れがあった場合でもXSSを防ぐことができます。
1/3 |
| Index | |
| [さらに気になる]JSONの守り方 | |
| Page1 次は、JSONにおけるセキュリティ対策 JSON内の機密情報 JSONによるXSS |
|
| Page2 JSON評価時の危険性 クロスドメインでのデータアクセス |
|
| Page3 XMLHttpRequest Level 2、XDomainRequest利用の注意点は |
|
| 教科書に載らないWebアプリケーションセキュリティ |
| Coding Edgeお勧め記事 |
| いまさらアルゴリズムを学ぶ意味 コーディングに役立つ! アルゴリズムの基本(1) コンピュータに「3の倍数と3の付く数字」を判断させるにはどうしたらいいか。発想力を鍛えよう |
|
| Zope 3の魅力に迫る Zope 3とは何ぞや?(1) Pythonで書かれたWebアプリケーションフレームワーク「Zope 3」。ほかのソフトウェアとは一体何が違っているのか? |
|
| 貧弱環境プログラミングのススメ 柴田 淳のコーディング天国 高性能なIT機器に囲まれた環境でコンピュータの動作原理に触れることは可能だろうか。貧弱なPC上にビットマップの直線をどうやって引く? |
|
| Haskellプログラミングの楽しみ方 のんびりHaskell(1) 関数型言語に分類されるHaskell。C言語などの手続き型言語とまったく異なるプログラミングの世界に踏み出してみよう |
|
| ちょっと変わったLisp入門 Gaucheでメタプログラミング(1) Lispの一種であるScheme。いくつかある処理系の中でも気軽にスクリプトを書けるGaucheでLispの世界を体験してみよう |
|
- PHPでGAE上に社員検索アプリを作る (2010/3/18)
GAEの制約により使うことができなかったテンプレートエンジン。PHP4GではSmartyが使えるようになった - 構造体の便利な用途、インターフェイス入門 (2010/3/10)
継承機能を排除したインターフェイス機能でダックタイピングが可能となった。サンプルで確かめてみよう - プライベートモードの履歴状態 (2010/3/1)
仕事に集中できるときと、なかなかできないとき、ありますよね。状態遷移図で考えてみよう - Goのswitch文で解くFizzBuzzと構造体のイントロ (2010/2/25)
Goではif文と同等の制御構造をswitch文で表現できる。試してみよう
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
| 「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
| 「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
| 仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
| 仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
| おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
| 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
お勧め求人情報

**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |

| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |

| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |

| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |

| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |

| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |







