界: Input Validation and Representation
入力の検証や表現の問題は、メタキャラクター、代替エンコーディング、数値表現などによって引き起こされます。セキュリティの問題は、入力を信頼することに起因します。この問題に含まれるのは、「Buffer Overflow」、「Cross-Site Scripting」攻撃、「SQL Injection」などです。
XSLT Injection
Abstract
未検証の XSL スタイルシートを処理することによって、攻撃者が、結果として得られる XML の構造およびコンテンツを改竄したり、ファイルシステムに任意のファイルを挿入したり、任意のコードを実行することを許す可能性があります。
Explanation
次の場合に XSLT Injection が発生します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
1. XSS:
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
上記の XSL スタイルシートは、
3. 任意のコードを実行します。
XSLT プロセッサーは、ネイティブの言語メソッドを XSLT 関数として (それらが無効でない限り) 露出させる機能があります。
上記のスタイルシートは、サーバー上で "cmd.exe" コマンドを実行します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
...
String xmlUrl = Request["xmlurl"];
String xslUrl = Request["xslurl"];
XslCompiledTransform xslt = new XslCompiledTransform();
xslt.Load(xslUrl);
xslt.Transform(xmlUrl, "books.html");
...
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
Example 1 は次のような 3 種類の結果を引き起こします。1. XSS:
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<script>alert(123)</script>
</xsl:template>
</xsl:stylesheet>
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<xsl:copy-of select="document('file:///c:/winnt/win.ini')"/>
</xsl:template>
</xsl:stylesheet>
上記の XSL スタイルシートは、
/etc/passwd ファイルのコンテンツを返します。3. 任意のコードを実行します。
XSLT プロセッサーは、ネイティブの言語メソッドを XSLT 関数として (それらが無効でない限り) 露出させる機能があります。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:App="http://www.tempuri.org/App">
<msxsl:script implements-prefix="App" language="C#">
<![CDATA[
public string ToShortDateString(string date)
{
System.Diagnostics.Process.Start("cmd.exe");
return "01/01/2001";
}
]]>
</msxsl:script>
<xsl:template match="ArrayOfTest">
<TABLE>
<xsl:for-each select="Test">
<TR>
<TD>
<xsl:value-of select="App:ToShortDateString(TestDate)" />
</TD>
</TR>
</xsl:for-each>
</TABLE>
</xsl:template>
</xsl:stylesheet>
上記のスタイルシートは、サーバー上で "cmd.exe" コマンドを実行します。
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 494
[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[3] Standards Mapping - FIPS200 SI
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.14.2 Configuration Architectural Requirements (L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 14.2.3 Dependency (L1 L2 L3)
[8] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[9] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[11] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws
[12] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws
[13] Standards Mapping - OWASP Top 10 2010 A1 Injection
[14] Standards Mapping - OWASP Top 10 2013 A1 Injection
[15] Standards Mapping - OWASP Top 10 2017 A1 Injection
[16] Standards Mapping - OWASP Top 10 2021 A03 Injection
[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation
[29] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I
[30] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I
[31] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I
[32] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I
[33] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I
[34] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I
[42] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I
[43] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I
[44] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[51] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)
desc.dataflow.dotnet.xslt_injection
Abstract
未検証の XSL スタイルシートを処理することによって、攻撃者が、結果として得られる XML の構造およびコンテンツを改竄したり、ファイルシステムに任意のファイルを挿入したり、任意のコードを実行することを許す可能性があります。
Explanation
次の場合に XSLT Injection が発生します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
1. XSS:
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
上記の XSL スタイルシートは、
3. 任意の Java コードを実行します。
XSLT プロセッサーは、ネイティブの Java 言語メソッドを XSLT 関数として (それらが無効でない限り) 露出させる機能があります。
上記のスタイルシートは、サーバー上で "ls" コマンドを実行します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
...
InputStream xmlUrl = Utils.getFromURL(request.getParameter("xmlurl"));
InputStream xsltUrl = Utils.getFromURL(request.getParameter("xslurl"));
Source xmlSource = new StreamSource(xmlUrl);
Source xsltSource = new StreamSource(xsltUrl);
Result result = new StreamResult(System.out);
TransformerFactory transFact = TransformerFactory.newInstance();
Transformer trans = transFact.newTransformer(xsltSource);
trans.transform(xmlSource, result);
...
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
Example 1 のコードは次のような 3 種類の結果を引き起こします。1. XSS:
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<script>alert(123)</script>
</xsl:template>
</xsl:stylesheet>
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<xsl:copy-of select="document('/etc/passwd')"/>
</xsl:template>
</xsl:stylesheet>
上記の XSL スタイルシートは、
/etc/passwd ファイルのコンテンツを返します。3. 任意の Java コードを実行します。
XSLT プロセッサーは、ネイティブの Java 言語メソッドを XSLT 関数として (それらが無効でない限り) 露出させる機能があります。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:rt="http://xml.apache.org/xalan/java/java.lang.Runtime" xmlns:ob="http://xml.apache.org/xalan/java/java.lang.Object">
<xsl:template match="/">
<xsl:variable name="rtobject" select="rt:getRuntime()"/>
<xsl:variable name="process" select="rt:exec($rtobject,'ls')"/>
<xsl:variable name="processString" select="ob:toString($process)"/>
<xsl:value-of select="$processString"/>
</xsl:template>
</xsl:stylesheet>
上記のスタイルシートは、サーバー上で "ls" コマンドを実行します。
References
[1] INJECT-8: Take care interpreting untrusted code Oracle
[2] Standards Mapping - Common Weakness Enumeration CWE ID 494
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[4] Standards Mapping - FIPS200 SI
[5] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[6] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[7] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[8] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.14.2 Configuration Architectural Requirements (L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 14.2.3 Dependency (L1 L2 L3)
[9] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[11] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[12] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws
[13] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws
[14] Standards Mapping - OWASP Top 10 2010 A1 Injection
[15] Standards Mapping - OWASP Top 10 2013 A1 Injection
[16] Standards Mapping - OWASP Top 10 2017 A1 Injection
[17] Standards Mapping - OWASP Top 10 2021 A03 Injection
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation
[29] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation
[30] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I
[31] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I
[32] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I
[33] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I
[34] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I
[42] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I
[43] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I
[44] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[51] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[52] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)
desc.dataflow.java.xslt_injection
Abstract
未検証の XSL スタイルシートを処理することによって、攻撃者が、結果として得られる XML の構造およびコンテンツを改竄したり、ファイルシステムに任意のファイルを挿入したり、任意のコードを実行することを許す可能性があります。
Explanation
次の場合に XSLT Injection が発生します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。攻撃者がアプリケーションに対して発行されたスタイルシートについて完全な制御権を獲得した場合、攻撃者は XXE (XML External Entity) Injection 攻撃を実行することもできます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
1. XSS:
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
上記の XSL スタイルシートは、
3. 任意の PHP コードを実行します。
XSLT プロセッサーは、"registerPHPFunctions" を有効にすることで、ネイティブの PHP 言語メソッドを XSLT 関数として露出させる機能があります。
上記のスタイルシートはサーバーで実行される "ls" コマンドの結果を出力します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。攻撃者がアプリケーションに対して発行されたスタイルシートについて完全な制御権を獲得した場合、攻撃者は XXE (XML External Entity) Injection 攻撃を実行することもできます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
...
<?php
$xml = new DOMDocument;
$xml->load('local.xml');
$xsl = new DOMDocument;
$xsl->load($_GET['key']);
$processor = new XSLTProcessor;
$processor->registerPHPFunctions();
$processor->importStyleSheet($xsl);
echo $processor->transformToXML($xml);
?>
...
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
Example 1 のコードは次のような 3 種類の結果を引き起こします。1. XSS:
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<script>alert(123)</script>
</xsl:template>
</xsl:stylesheet>
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<xsl:copy-of select="document('/etc/passwd')"/>
</xsl:template>
</xsl:stylesheet>
上記の XSL スタイルシートは、
/etc/passwd ファイルのコンテンツを返します。3. 任意の PHP コードを実行します。
XSLT プロセッサーは、"registerPHPFunctions" を有効にすることで、ネイティブの PHP 言語メソッドを XSLT 関数として露出させる機能があります。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<xsl:value-of select="php:function('passthru','ls -la')"/>
</xsl:template>
</xsl:stylesheet>
上記のスタイルシートはサーバーで実行される "ls" コマンドの結果を出力します。
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 494
[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[3] Standards Mapping - FIPS200 SI
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.14.2 Configuration Architectural Requirements (L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 14.2.3 Dependency (L1 L2 L3)
[8] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[9] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[11] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws
[12] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws
[13] Standards Mapping - OWASP Top 10 2010 A1 Injection
[14] Standards Mapping - OWASP Top 10 2013 A1 Injection
[15] Standards Mapping - OWASP Top 10 2017 A1 Injection
[16] Standards Mapping - OWASP Top 10 2021 A03 Injection
[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation
[29] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I
[30] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I
[31] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I
[32] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I
[33] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I
[34] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I
[42] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I
[43] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I
[44] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[51] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)
desc.dataflow.php.xslt_injection
Abstract
未検証の XSL スタイルシートを処理することによって、攻撃者が、結果として得られる XML の構造およびコンテンツを改竄したり、ファイルシステムに任意のファイルを挿入したり、任意のコードを実行することを許す可能性があります。
Explanation
次の場合に XSLT Injection が発生します。
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
1. XSS:
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
上記の XSL スタイルシートは、
1. 信頼できないソースからデータがプログラムに入り込んだ場合。
2. このデータは、XSL スタイルシートに書き込まれます。
アプリケーションは通常 XSL スタイルシートを使用して XML 文書のフォーマット変換を行います。XSL スタイルシートには変換プロセスを強化する特殊な関数が含まれているので、適切に使用しないと、脆弱性が増加します。
攻撃者が XSL スタイルシート内の XSL 要素に書き込みが可能な場合、XSL スタイルシートおよび処理のセマンティクスが改変される場合があります。攻撃者は XSS (Cross-Site Scripting) 攻撃を仕掛けられるようにスタイルシートの出力を改変し、ローカルファイルシステムのリソースのコンテンツを露出させ、あるいは任意のコードを実行することができます。
例 1: XSLT Injection に対して脆弱なコードの例を次に示します。
...
xml = StringIO.StringIO(request.POST['xml'])
xslt = StringIO.StringIO(request.POST['xslt'])
xslt_root = etree.XML(xslt)
transform = etree.XSLT(xslt_root)
result_tree = transform(xml)
return render_to_response(template_name, {'result': etree.tostring(result_tree)})
...
攻撃者が特定の XSL を XSTL プロセッサに渡す権限を獲得している場合、
Example 1 のコードは次のような 3 種類の結果を引き起こします。1. XSS:
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<script>alert(123)</script>
</xsl:template>
</xsl:stylesheet>
XSL スタイルシートを処理するとき、<script> タグは対象者のブラウザーでレンダリングされ、Cross-site Scripting 攻撃の実行を許します。
2. サーバーのファイルシステムから任意のファイルを読み込みます。
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<xsl:copy-of select="document('/etc/passwd')"/>
</xsl:template>
</xsl:stylesheet>
上記の XSL スタイルシートは、
/etc/passwd ファイルのコンテンツを返します。References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 494
[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[3] Standards Mapping - FIPS200 SI
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.14.2 Configuration Architectural Requirements (L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 14.2.3 Dependency (L1 L2 L3)
[8] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[9] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[11] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws
[12] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws
[13] Standards Mapping - OWASP Top 10 2010 A1 Injection
[14] Standards Mapping - OWASP Top 10 2013 A1 Injection
[15] Standards Mapping - OWASP Top 10 2017 A1 Injection
[16] Standards Mapping - OWASP Top 10 2021 A03 Injection
[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation
[29] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I
[30] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I
[31] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I
[32] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I
[33] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I
[34] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I
[42] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I
[43] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I
[44] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[51] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)
desc.dataflow.python.xslt_injection