質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.11%

HTMLメールでのXSSの危険度合い

受付中

回答 4

投稿 編集

  • 評価
  • クリップ 4
  • VIEW 1,341

alpha360

score 6

イメージ説明
イメージ説明
イメージ説明

最近、上の画像のように氏名などの会員情報に<script>タグ入力することによって、HTMLメールでXSSを起こすことができました。
HTMLメール上で起きるXSSは今回発見したもののように、基本セルフXSSが多いのではないかと思うのですが、例えば友達招待メールなどにこのようなタイプのXSSがあった場合は他者にも被害を与えられるのではないかと思います。

また、標的の使っているメールサービスが分かっていれば、かつそのメールサービス上で<script>が動けば、受信トレイの他のメールの情報も奪ったりすることができ、下手したら、普通のWebサービス上で起きるXSSよりも危険だったりするのかもしれないとも思いました。

ただ同時に、XSSを埋め込んだメールを任意の人物に送信できるとしても、それは送信元を偽っただけの悪意のあるスクリプトを埋め込んだメールと何が違うのか? とも思いました。

自分で試したところ、GmailではHTMLメールに埋め込まれた<script>タグは無効になりました。
基本的に多くの人が普段使いにしているメールサービスでは、そのように<script>が動かないため、HTMLメールに埋め込めるXSSがあっても問題ないのかもしれないとも思っております。

質問

今回割と有名なサービスでこのようなXSSがあったわけですが、Web企業はこのようなHTMLメール上で起こるXSSについて、どれほど気をつけるべきでしょうか?
また、HTMLメール上で起こるXSSが大きな被害を生むことは可能でしょうか。
可能でしたらどのようなシナリオがあるのか知りたいです。

また、使い捨てのメールアドレスを作るようなサービスでは、HTMLメールに埋め込まれた<script>タグが有効になってしまうサービスがいくつかありました。
ある程度名前が知られたWebメールサービスやメーラーソフトでHTMLメール中の<script>タグが有効になってしまうようなものはございますでしょうか?

以上、ご教示のほどよろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+4

これ、多分かなり危険です。

本質問は削除依頼を出し、対象サービスにお知らせすべきです。
ただし、連絡の仕方を間違うと訴えられます。

先方にログも残っているはずなので、早急に連絡を取り、キチンと説明されたほうが良いです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+3

クロスサイトスクリプティング等の脆弱性に関する情報は、情報処理推進機構(IPA)のサイトに詳しく載っています。
例えば、知っていますか?脆弱性 (ぜいじゃくせい)のページなどです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+1

このレベルの物であれば、インラインスクリプトを無効にするだけで対応はできるのですが、このサービスはそれをしていないのでしょうね。

対応としてはCSP(Content-Security-Policy)でコンテンツやスクリプトをホワイトリストで限定して使用するのがベストです。
一度対応したことがありますが、きちんとするためにトライ&エラーの繰り返しでかなり大変だった記憶があります。

ただ、「このサイトは攻撃できる」と全世界に公開しているのと同意ですので、画像は削除ののち、各サービスへの連絡をとるべきかと。
下手をすると不正アクセスを助長したと認定され、罪に問われかねません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

なんとなくですが、XSSの理解が間違っているような気がします。

どこかの企業の(仮にC社)HTMLメールがXSSの対策がされていないとしても、
被害を受けるのは、そのCという企業と利用者です。

A子さん:C社のWEBメールを利用するユーザ
Bさん:脆弱性のある掲示板の運営
C社:XSSの対策がされていないWEBメール運営会社
X社:XSSの攻撃対象になっても大丈夫なサイト運営社(質問者さんの立ち位置の想定)

IPAの記事見てもらうとわかりやすと思います。

  1. 攻撃者がBさんの掲示板に罠を仕掛ける
  2. A子さんがBさんの掲示板を見る
  3. A子さんが罠のリンクが入ったページを表示し、リンクをクリックする
  4. Bさんの掲示板からX社のウェブサイトに移って(クロス)、悪意を持った命令(スクリプト)を送ってしまう
  5. 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される
  6. 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう

”攻撃者がBさんの掲示板に罠を仕掛ける”の”Bさんの掲示板”の部分が、WEBメールになったのですよね?
C社のメールサービスを利用してX社へ攻撃してもX社はスクリプトが無効なので問題ありません。

Web企業はこのようなHTMLメール上で起こるXSSについて、どれほど気をつけるべきでしょうか?

X社が対策をしていれば問題が無い&質問者さんはX社からの観点からという認識ですが、どうでしょうか。

ちなみに、X社の例がGoogle(GMail)なので、GMAILへの攻撃はできないということです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.11%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る