Upload File

soc report 200801 - nttコミュニケーションズ オ...

12
mailto スキームのエスケープについて NT T ミュニ ケーシ ョ ン ズ株式会社 経営企画部 マネージドセキュリティサービス推進室 セキュリティオペレーション担当 2013 年 02 月 01 日 Ver. 1.0

Upload: nguyenkhanh

Post on 23-Apr-2018

226 views

Category:

Documents


7 download

Report

TRANSCRIPT

Page 1: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

mailto スキームのエスケープについて

N T T コ ミ ュ ニ ケ ー シ ョ ン ズ株式会社

経営企画部

マネージドセキュリティサービス推進室

セ キ ュ リ テ ィ オ ペ レ ー シ ョ ン担当

2013 年 02 月 01 日

Ver. 1.0

Page 2: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

1. 調査概要.............................................................................................................................. 3

1.1. 調査概要 ......................................................................................................................... 3

2. MAILTOスキームでのエスケープ処理 .................................................................................... 3

2.1. 脆弱なWEBページを想定する(掲示板)........................................................................... 3 2.2. 想定して脆弱なWEBページに不正行為を行う 1(メールアドレス)................................ 4 2.3. 2.2 のエスケープ処理を実装する .................................................................................. 5 2.4. 想定して脆弱なWEBページに不正行為を行う 2(MAILTOスキームのクエリ文字列) ..... 7 2.5. 2.4 のエスケープ処理を実装する .................................................................................. 8 2.6. とにかくURLエンコード処理を行う............................................................................. 9 2.7. 対策 .............................................................................................................................. 10 2.8. まとめ(MAILTOスキームの特殊性) ............................................................................... 11

3. 検証作業者 ........................................................................................................................ 11

4. 履歴................................................................................................................................... 11

5. 最新版の公開URL .............................................................................................................. 11

6. 参考................................................................................................................................... 12

7. 本レポートに関する問合せ先............................................................................................... 12

Copyright 2013 NTT Communications Corporation 2

Page 3: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

1. 調査概要

1.1. 調査概要 Web アプリケーションにて、利用者から入力されたメールアドレスを用いる場合、SMTP Injectionなどに気をつける必要があるが、本文書では、mailto スキーム内に埋め込む際の注意点について

検討した。

2. mailtoスキームでのエスケープ処理

2.1. 脆弱なWebページを想定する(掲示板) 以下のような Web ページを想定してみる 利用者からの投稿内容と共に、メールアドレスを受け取り、Web ブラウザ上に表示する その際に、メールアドレスには、mailto スキームでリンクを張る サンプルとして、図 2.1-1を用意した。

図 2.1-1 : サンプルとなるページ

「メールアドレス」と「メール題」いうテキストフォームに入力された情報が

mailto スキームのリンク先(画面上ではステータスバーに表示)として生成される

Copyright 2013 NTT Communications Corporation 3

Page 4: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

2.2. 想定して脆弱なWebページに不正行為を行う 1(メールアドレ

ス) 図 2.1-1に対して、メールアドレスに「[email protected][email protected]&」を与えた

結果が、図 2.2-1~図 2.2-2である。 入力データは、「@」が二つなど、メールアドレスとして不適切な部分があるため、入力値のバリーデ

ーション時にエラーとなる可能性があるが、「?」のバリーデーションを考慮している Web ページは

少ないのではないだろうか。 そのような場合、図 2.2-1、さらに図 2.2-2のようになり、Webブラウザからメーラー(MUA)に渡され

る際にこのWebサイトを構築したWebアプリケーション・プログラマが想定していないようなデータが

渡されることになる(図 2.2-2)。

図 2.2-1 : 「メールアドレス」に

[email protected][email protected]&」というデータを与えた

Copyright 2013 NTT Communications Corporation 4

Page 5: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

図 2.2-2 : 図 2.2-1の「mail」というリンクをクリックした結果

2.3. 2.2のエスケープ処理を実装する 「2.2 想定して脆弱なWebページに不正行為を行う 1(メールアドレス)」での問題点は、メールアド

レスに「?」を与えることができ、かつmailtoスキームでエスケープされていなかったことである。 ということで、「?」をURLエンコードする処理を追加した結果が、図 2.3-1~図 2.3-2である。

Copyright 2013 NTT Communications Corporation 5

Page 6: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

図 2.3-1 : 「メールアドレス」に

[email protected][email protected]&」というデータを与えた

図 2.3-2 : 図 2.3-1の「mail」というリンクをクリックした結果

メールアドレスに入力したデータは「宛先」の中に閉じていることが確認できる

Copyright 2013 NTT Communications Corporation 6

Page 7: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

2.4. 想定して脆弱なWebページに不正行為を行う 2(mailtoスキーム

のクエリ文字列) 次は、mailto スキームに与えられるクエリ文字列の値が汚染データの場合を考えてみる。 クエリ文字列として「&」のエスケープ処理を怠っていると、Webブラウザからメーラー(MUA)に渡さ

れる際に任意のクエリ文字列が指定可能となり、このWebサイトを構築したWebアプリケーション・

プログラマが想定していないようなデータが渡されることになる(図 2.4-2)。

図 2.4-1 : 「メールの題名」に

「FromWeb&[email protected]」というデータを与えた

図 2.4-2 : 図 2.4-1の「mail」というリンクをクリックした結果

Copyright 2013 NTT Communications Corporation 7

Page 8: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

2.5. 2.4のエスケープ処理を実装する 「2.4 想定して脆弱なWebページに不正行為を行う 2(mailtoスキームのクエリ文字列)」での問題

点は、クエリ文字列として「&」(場合によっては「=」も)を与えることができ、かつmailtoスキームでエ

スケープされていなかったことである。 ということで、「&」などをURLエンコードする処理を追加した結果が、図 2.5-1~図 2.5-2である。

図 2.5-1 : 「メールの題名」に

「FromWeb&[email protected]」というデータを与えた

図 2.5-2 : 図 2.5-1の「mail」というリンクをクリックした結果

メールの題名として与えたデータがメーラーの「件名」の中で閉じていることが確認できる

Copyright 2013 NTT Communications Corporation 8

Page 9: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

2.6. とにかくURLエンコード処理を行う 「2.3 2.2 のエスケープ処理を実装する」、「2.5 2.4 のエスケープ処理を実装する」で、個別に検討

したが、とにかくmailtoスキームのURIに使う際にはURLエンコードするという実装ではどうか試し

てみた結果が図 2.6-1~図 2.6-3である。 全体的に URL エンコードを実施しても、特に問題がなく正常に動作することが確認できる。

図 2.6-1 : 「メールアドレス」「メール題」にゴニョゴョしてみた

図 2.6-2 : 図 2.6-1のHTMLソース

Copyright 2013 NTT Communications Corporation 9

Page 10: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

図 2.6-3 : 図 2.6-1の「mail」というリンクをクリックした結果

「メールアドレス」も「メールの題名」も与えたデータが

個々の枠内の中で閉じていることが確認できる

2.7. 対策

「2.6 とにかくURLエンコード処理を行う」の結果から、 URI として出力する際に URL エンコード処理を行う という至極一般的な結論となってしまったが、一応明示しておく。

mailto スキームでのメールアドレス部分は URL エンコード処理を行う 基本的には標準の URL エンコード処理関数を使えばよい 個別に実装する場合、特に「?」を「%3F」へ URL エンコード処理を行う 個別に実装する場合、特に「"」を「%22」へ URL エンコード処理を行う

HREF 属性値を囲んでいる文字を URL エンコードする(この点は本文書の範囲外

とする) mailto スキームでクエリ文字列の値や名前を指定する際、URL エンコード処理を行う メールアドレスして適切かどうか、入力値チェックを行う。(この点は本文書の範囲外とする)

Copyright 2013 NTT Communications Corporation 10

Page 11: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

2.8. まとめ(mailtoスキームの特殊性)

「入力データを mailto スキームの一部として利用する」という場面は、稀かとは思う。 また、利用者の操作(mailto スキームをクリックする。メーラーを使ってメールを編集するなど)があ

るため、実際の不正行為に悪用される現実的可能性は低いと思われる。 HTML の A タグの HREF 属性で通常使われる「http」スキームや「https」スキームは、Web アプ

リケーションへのリンクに使われ、一般的な Web アプリケーションでは、任意のクエリ文字列を与え

ることが可能なること自体は、別段セキュリティ事項とはならない。Web アプリケーションで使わない

ような任意のクエリ文字列が与えられても Web アプリケーションは無視すればよいからだ。 しかしながら、mailto スキームの場合、クエリ文字列上の変数が予約されているため(例え

ば、”subject”はメールの題名)、「任意のクエリ文字列変数が指定できる」というのは、Web アプリケ

ーション・プログラマが想定していないメール属性を指定可能という点で、セキュリティ上の問題に

なりうるだろう。

3. 検証作業者

NTT コミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室 セキュリティオペレーション担当 佐名木 智貴

4. 履歴

2013 年 02 月 01 日 : ver1.0 最初の公開

5. 最新版の公開URL

http://www.ntt.com/icto/security/data/soc.html

Copyright 2013 NTT Communications Corporation 11

Page 12: SOC Report 200801 - NTTコミュニケーションズ オ …«対して、メールアドレスに「test@example.com?cc=test4@example.com&」を与えた 結果が、 図 2.2-1~図2

SR-20130110

Copyright 2013 NTT Communications Corporation 12

6. 参考

RFC2368 : The mailto URL scheme RFC3986 : Uniform Resource Identifier (URI): Generic Syntax パーセントエンコーディング

http://ja.wikipedia.org/wiki/%E3%83%91%E3%83%BC%E3%82%BB%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%82%B3%E3%83%BC%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0

Security of WebAppli&Mail http://rocketeer.dip.jp/secProg/MailSecurity001.pdf

セキュア Web プログラミング Tips 集 出版社 : 株式会社ソフト・リサーチ・センター (ISBN978-4-88373-256-2 C3004)

Windows 汎用 COM コンポーネント BASP21 の SMTP コマンド・インジェクション問題につ

いて http://www.insi.co.jp/news/070330.html

.NET Framework 上の SMTP Command Injection について http://www.ntt.com/icto/security/images/sr20110110.pdf

.NET Framework に潜む脆弱性「SMTP コマンド・インジェクション」とその対処法 http://www.atmarkit.co.jp/fdotnet/dotnetsecurity/dotnetsecurity01/dotnetsecurity01_01.html

7. 本レポートに関する問合せ先

NTT コミュニケーションズ株式会社 経営企画部 マネージドセキュリティサービス推進室 セキュリティオペレーション担当 e-mail: [email protected]

以 上


Transition Care Notebook...Trey Research 1234 Main Street, Suite 300 Oklahoma City, OK 64111 [email protected] (770) 555-0110 Sample references for a resume/application packet

INFORME DE SOSTENIBILIDAD - example.com · 64 Fundación Bolívar Davivienda 47 Informe de 70 materialidad Memorando ... logros 2014 Banco Davivienda // Informe de sostenibilidad

LINC Biz オンラインポスターセッション[email protected] 招待メールを受信した メールアドレスが表示 パスワードを 設定ください ② LINC

Sony Ericsson VH110 - Xperia(エクスペリア) | ソ …›³2 図4 図1 図3 図6 図5 ® Sony Ericsson VH110 Prior to use, please read the Important information leafl et separately

หน่วยการเรียนรู้ที่ 4 การป้องกันและปราบปรามการทุจริต ...ge.vru.ac.th/userfiles/test/test4.pdf ·

lamanzoni.itlamanzoni.it/wp-content/uploads/sites/313/Test4.pdf · Created Date: 12/10/2014 10:31:28 AM

LinuxTag 2012: Virtualisierungscluster mit Ganeti, KVM und ... · gnt-node add -s 10.0.1.2 node2.example.com gnt-node add -s 10.0.1.3 node3.example.com gnt-instance add --disk-template=drbd

Título del artículo interior - unav · Título del artículo interior . Teléfono: 555-555-5555 Fax: 555-555-5555 Correo: [email protected] . Clinica Universida de Navarra . Ocupac

SEO аудит сайта example.com #16000-1 от 01-09.03 fileЦели сайта: в приоритете продвижение сайта на рынки Европы (en) и

図 面...3,700 4,000 6,500 単 位 図 名 位 置 縮 尺 図 号 倉吉市建設課 図 示 m、mm 平面図・標準断面図・舗装構成断面図 工 事 名 令和元年度

ガントリークレーン1号機撤去解体工事 図 面 目 録...ガントリークレーン全体図 位置図・配置図 図 面 目 録 図面番号 図 面 名 称 縮尺

タイタタイイタイ地図 地地図図地図 - Ministry of Foreign AffairsThailand Administrative Divisions International boundary province (tinh) boundary National capital Province

組立マンホール 0号・1号・2号・3号・4号・R号・ …ラダホール 78 縦断面図 縦断面図 横断面図 横断面図 平面図 平面図 ラダホールの標準構造図

キーワード 「絵入古今和歌集」(『古今/和歌harp.lib.hiroshima-u.ac.jp/hirokoku-u/file/12138...jjlJ 下 上 下 上 1 1 1 O 1 1 2 1 3 6 図 図 図 図図 図 図 図

Cambridge IELTS 6 Test4

GlusterFS - download.zcu.czdownload.zcu.cz/.../seminare_CIV_2013/KIV-PD_JanStrnadek-GlusterF… · apt-get install glusterfs-client mount.glusterfs server1.example.com:/testvol /mnt

jjjj 建築図(((断面詳細図(断面詳細図・・・・立面図立面 …...jjjj 設備図(2) 17/20 2・3・7・8・搭屋階平面図 断面図 !"# $% & '()*+,-./0'1

AKAMAI CLOUD SECURITY · 2019-03-04 · AKAMAI CLOUD SECURITY 오프 네트워크 노트북, 전체 VPN Example.com VPN DNS 서버 방화벽 보안 웹 게이트웨이 (SWG) 본사

RR.MM. DE SANTO DOMINGO Noticias desde la Curia · Sihanoukville, Camboya , Sor Marcelina Zarzúa Casa “Nuestra Señora de ... en una Nome società Siamo su Internet! example.com

Caiet de bune practici Erasmus Final 1 ok test4. Model acord de mobilitate ERASMUS – instruire Lifelong Learning Programme: HIGHER EDUCATION (ERASMUS) Additional Bilateral Agreement

1 programme jep2013 test4 - aulne-porzay-tourisme.com · de 10h à 18h • Eglise Notre-Dame Visite commentée par Yves-Pascal Castel, docteur en histoire de l’art. ... Accès par

delf test4

ウエイトバランス型吊り治具 リフティングトール概要寸法図/荷重曲線図 36 37 寸法図 荷重曲線図 寸法図 荷重曲線図 リフティングトール

Git verstehen und nutzen - PKQSpkqs.net/~sbeyer/tmp/pre-git-clt09.pdf · git config --global user.email ’[email protected]’ Subjektiv, aber erw ahnenswert (Doku ): git config --global

NIKKEN SEKKEI LTD - 総合図の手引 14 · 2019-03-08 · ① 総合図元図は、意匠設計図の平面詳細図、天井伏図、展開図、立面図、外構図 等をベースに受注者が作成する。また同時に設計図書等の意図に添って、基本

ネットワークネットワーク図鑑図鑑図鑑ユーザーマ … › ela › manual › nw_insects.pdfネットワークネットワーク図鑑図鑑図鑑ユーザーマニュアルユーザーマニュアル

OpenID Connect - TERENA · 2012-02-08 · Mail:[email protected] Notary:&Google.& O ! cial gle l ... Implementations in Java, Ruby, Pyton, (PHP) Interop tests ungoing interop event

по специальности 060101 «ечебное дело» O B J M J = BЯ J ...goukmk.ru/tinymce/upload-files/GIA/test4.pdf · 18. iрименение лазера в хирургии

SNCF RÉSEAU - era.europa.eu · Test8-LGVEE-SNCFR Test9-LGVEE-SNCFR Test10-LGVEE-SNCFR Test11-LGVEE-SNCFR Test3-LGVEE-SNCFR Test4-LGVEE-SNCFR Test10-LGVEE-SNCFR Test11-LGVEE-SNCFR

総合図の手引 14 - NIKKEN · ① 総合図元図は、意匠設計図の平面詳細図、天井伏図、展開図、立面図、外構図 等をベースに受注者が作成する。また同時に設計図書等の意図に添って、基本

INFORME DE SOSTENIB ILIDAD - example.com · para fortalecer la oferta de valor a nuestros clientes con productos y servicios innovadores. Superamos un millón de clientes digitales

ブラシレスモータドライバシリーズ センサレス 三 …...8 TEST4 テストピン (GND に接続またはOpenにしてください) 28 VCC 電源 9 TEST2 テストピン

加西中学校プール改築工事設計図 - Kasai · プールシート貼り平面図・シート貼り詳細図 足洗槽詳細図 外構図 現況外構解体図 解体撤去図

test4 · 2011-07-30 · Kaikki kilpapurjehduksen tavanomaiset taidot, eli strategia, taktiikka ja tuuliolojen hyvå lukutaito, ovat tietysti koko ajan mukana. Huipputasolla veneiden

[XLS] · Web viewArlista_2009_február_20 DAT1 DAT2 DAT3 DAT4 DAT5 DATA1 DATA2 DATA3 DATA4 DATA5 Preisliste_Excel_VE TEST0 TEST1 TEST2 TEST3 TEST4 TESTHKEY TESTKEYS TESTVKEY SK RTT