Kazuho@Cybozu Labs

« キーワード抽出のススメ (Lingua::JA::Summarize がアップデート) | メイン | Japanize 拡張機能バージョン 0.8 リリースのおしらせ »

2007年03月28日

Re: SessionSafe: Implementing XSS Immune Session Handling

　SessionSafe というウェブアプリケーションの実装方式が提案されていることを知りました (via. T.Teradaの日記) 。要点をまとめると、３種類の手法を組み合わせることで、XSS 脆弱性があったとしても、同一サービスの他のページの詐取を防止しようという試み。

1) セッションID管理専用のサブドメイン
2) XSS から窃取・改ざんできない URL
3) ページごとにサブドメインを切り替える

　で、提案者が「議論するんじゃなくて攻撃してみてよ :)」とおっしゃっているので、英語ブログで exploit を書いてみました。自分がこの攻撃手法を知ったのは「snippets from shinichitomita’s journal - クロスドメインでのデータ読み込みを防止するJavaScript ?」の nanto_vi さんのコメントによってなんだけど、海外でも知られてない手法だったんでしょうか。すごいなぁ。

　本題の SessionSafe については、 2 が担保されない限りは特殊なセッション ID 管理手法を取る理由はないので、Typekey＋ページごとのサブドメイン切り替え、といったアプローチと同等じゃないかと思いました。

投稿者 kazuho : 2007年03月28日 05:24