システム開発会社です。Web開発の補助サービスを開発中です。
JavaScript投稿サイトのセキュリティテスト(ハッキングテスト) サイト構築・ウェブ開発の仕事の依頼
仕事の概要
時間単価制 |
2,000円 〜 3,000円 |
|---|---|
| 稼働時間/週 | 10時間/週 |
| 期間 | 1週間以内 |
|
掲載日
|
2019年02月13日 |
応募期限 |
2019年02月26日 |
必要なスキル |
応募状況
| 応募した人 | 8 人 |
|---|---|
| 契約した人 | 3 人 |
| 募集人数 | 2 人 |
| 気になる!リスト | 28 人 |
仕事の詳細
|
【 概要 】 JavaScript投稿サイトのセキュリティテスト(ハッキングテスト) 【 依頼内容 】 JavaScriptやHTMLファイルを自由に投稿でき、第三者が自由に閲覧できるサイトを開発中です。 ご存知かも知れませんがJavaScriptには、自由に第三者が使えるとセキュリティ的に問題のある機能がいくつも存在します。 iframeのサンドボックスなど、Javascriptを制限できる機構がHTMLには用意されていますが、それだと使える使えないの大雑把な制御しかできないため、独自の制御機構を作って、Javascriptの処理に制限を設けています。 そこで創造力(?)を働かせて、ハッキング対策に抜けがないかチェックして頂きたいと思います。 恐らく次のような点の確認になると思います。 1.悪用されると危険な機能が必要に応じて制限されており、その制限対象に抜けがないか →例えば、cookieやlocalStorageのアクセス、他サイトへのAjax、ログイン・ログアウトボタンをJSから強制クリックできないかなど 2.制限機能を迂回する方法はないか →例えば、eval、Function、constructor など文字列をコードとして実行できるもの、document.writeからscriptタグ埋め込み実行、thisからwindow取得など。 3.投稿されたJavaScriptは構文解析されますが、特定の構文で解析が失敗することはないか →例えば、var x,function y(){....}のような構文を書くとうまく動作しない等、もし発見されましたら。 4.その他バグ、セキュリティ的に問題となる点など →例えば、URLのパスに../を入れると不正なフォルダが表示される、外部リンク(<a>タグ)をJSにて作るとクリック時に確認画面が表示されない等 テスト仕様書等はありません。独創的なテスト(ハッキング)をお願い致します。 もしテスト中にサイト動かなくなっていたら、連絡くださいw 【 応募要件 】 以下のようなJavaScriptのセキュリティに関するサイトをざっくり眺めて、理解に問題ないことが応募要件となります。 (どちらか片方で問題ありません) ◆JavaScript とHTML5のセキュリティ対策 https://laboradian.com/sec-js-html5/ ◆JavaScriptでセキュアなコーディングをするために気をつけること https://developer.cybozu.io/hc/ja/articles/201850320-JavaScript%E3%81%A7%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%81%AA%E3%82%B3%E3%83%BC%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%92%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AB%E6%B0%97%E3%82%92%E3%81%A4%E3%81%91%E3%82%8B%E3%81%93%E3%81%A8 【 テスト方法 】 (1)次のURLにアクセスしてください。 https://codengine.cloud (2)画面下のリンク「Ajax制限:html」をクリックしてサンプルHTMLをダウンロードしてください (スマホから表示すると、サンプルはダウンロードできず、サンプルのHTMLがそのまま画面表示されてしまうのでご注意ください) (3)ダウンロードしたサンプルを、ドラッグ&ドロップで、サイトにアップロードしてください (4)投稿後、「公開用URLを開く」をクリックし、投稿されたHTMLファイルが適切に機能制限されているか確認してください 【 報酬 】 恐らく、他に類を見ない依頼と思います。 正直なところ、どのような人に依頼したら良いかわからず、また依頼したところで効果があるのかさえわかりません。 このため、一旦、次の2つの方法で募集します。 それぞれ予算10万円を使い切れば、一度終了としたいと思います。 (A)時給2000円 + 1件の発見につき成功報酬5000円 →最大10時間まで時給をお支払いします。2名程度募集し、様子を見て追加等したいと思います。 (B)成功報酬のみ(1件の発見につき成功報酬1万円~) (A)のほうは、応募をお願い致します。 (B)のほうは 「オレでなきゃ見逃しちゃうね」という方、もしおられましたらお願い致します。 応募しなくて大丈夫ですので、発見されたらご連絡ください。 しばらくしても(B)にて発見がない場合は、1件あたりの報酬額を少しずつ上げたいと思います(予算合計はそのままです) ※1件の発見というのは、それぞれ独立した事象とさせてください。 【 納期 】 急いでないため、納期は特にありません。マイペースでお願いします。 (一週間以内をシステム上選択していますが無視してください) 【 問題発見時 】 何か発見した場合、直接メッセージを送って頂ければと思います(もし質問欄等あれば、そちらに内容をご記載頂いても大丈夫です。が、クラウドワークスさんにはなかった気が) 発見された方に追加でプロジェクトのオファー等させて頂きます。そちらで支払います。 発見された問題点は、共有のため、随時こちらに追記していきます。 また一人3件見つけられた場合、予算と平行作業の関係上、一旦、作業を止めてください。 (予算を超えなさそうなら続けて頂ければと思います。) 【 例外について 】 次の点は、既知の内容のため、問題からは外させてください。 (1)JavaScriptの無限ループ、無限再帰関数 (2)alertの無限ループ →これらは優先順位が低いと思われるため一旦対応を後回しにしています。 (3)偽のヘッダーを作り、styleのz-indexを変更して、本物のヘッダーの上に被せて、誤操作を誘う →そのうち対応します。z-index以外に、styleをJSから自由に設定できてまずいものがありましたら、教えてください。 【 注意点 】 各機能はどこかに、文字列かプロパティが定義されていないと使えないようになっています。例えば、setIntervalという機能をテストしたい場合、文字列"setInterval"か、プロパティ.setIntervalがどこかに存在しないと使用できません。 evalをテストする際によく忘れるのでお気をつけください。 逆に、どこにも該当文字列・プロパティがないのに使えてしまう機能がありましたら、ご連絡ください。 複雑な依頼ですみません。気軽にご応募頂ければと思います。 |
| 特記事項 |
|---|
|
|
追記
2019年02月13日 15:50
時給2000円と書きましたが、もし足りないようでしたら、ご提案ください。(ちょっと難易度が高いと思いますし)それも踏まえて、お願いする方を決めたいと思います。
2019年02月13日 17:49
度々追加ですみません。
今回少額なので、結構手数料がかかるので、割と自由に時給については、ご提案ください。範囲外の3000円超えても特に問題ありません。
今回少額なので、結構手数料がかかるので、割と自由に時給については、ご提案ください。範囲外の3000円超えても特に問題ありません。
2019年02月14日 00:25
早速、(B)のほうで指摘を頂きました。
添付ファイルのような方法でコードを入れ込む場合について修正を行いますので、もしよければ、このパターンでのテストは一旦、避けて頂ければ幸いです。
修正終わりましたら、こちらの追記欄にて報告致します。
ホントはここに書きたかったのですが、CroudWorksさんのフォームが、Javascriptコードっぽいものをことごとく受け付けてくれないので、添付ファイルの内容になります。
添付ファイルのような方法でコードを入れ込む場合について修正を行いますので、もしよければ、このパターンでのテストは一旦、避けて頂ければ幸いです。
修正終わりましたら、こちらの追記欄にて報告致します。
ホントはここに書きたかったのですが、CroudWorksさんのフォームが、Javascriptコードっぽいものをことごとく受け付けてくれないので、添付ファイルの内容になります。
2019年02月14日 01:05
こちらで制限を追加した機能について、後ほどまとめておきます。
もしそこに記載のない機能で、アブナイものがあれば、テスト頂けると効果があるかも知れません。(ただ、制限を加えた機能でも、ちゃんと動いてない可能性はあるのですが。。)追記ばかりで申し訳ないです。
もしそこに記載のない機能で、アブナイものがあれば、テスト頂けると効果があるかも知れません。(ただ、制限を加えた機能でも、ちゃんと動いてない可能性はあるのですが。。)追記ばかりで申し訳ないです。
2019年02月14日 09:18
上記の添付ファイル「code.txt」の修正を行いました。
このため、こちらのバグに関して、テストして頂いて大丈夫です。
◆タグ名/onXXX=""のように、タグ名の後に/とonXXXが続いた場合に制御機能が機能してなかったので修正
◆bodyタグがない状態で、最初にbutton要素があると、buttonタグの内部にヘッダーが挿入されるのを修正
またこの修正反映前にアップロードされたファイルが、見えなくなってしまっています。内部的にはファイルを保持しているので、もし必要でしたら申し出ください(最終的にアップロードされたファイルは一旦全て消そうと思います)
このため、こちらのバグに関して、テストして頂いて大丈夫です。
◆タグ名/onXXX=""のように、タグ名の後に/とonXXXが続いた場合に制御機能が機能してなかったので修正
◆bodyタグがない状態で、最初にbutton要素があると、buttonタグの内部にヘッダーが挿入されるのを修正
またこの修正反映前にアップロードされたファイルが、見えなくなってしまっています。内部的にはファイルを保持しているので、もし必要でしたら申し出ください(最終的にアップロードされたファイルは一旦全て消そうと思います)
2019年02月14日 09:22
また次の指摘を受けています。
・history.pushStateが有効になっているので、自由にURLパスの変更とブラウザの履歴への追加が出来る
・location.reload()、location.href = location.hrefで無限リロードされる
・<meta http-equiv="refresh" content="0; URL='${自身のURL}" />で無限リロードされる
こちらも後ほど修正しますので、もしよければこの辺のテストは避けて頂ければ幸いです。
・history.pushStateが有効になっているので、自由にURLパスの変更とブラウザの履歴への追加が出来る
・location.reload()、location.href = location.hrefで無限リロードされる
・<meta http-equiv="refresh" content="0; URL='${自身のURL}" />で無限リロードされる
こちらも後ほど修正しますので、もしよければこの辺のテストは避けて頂ければ幸いです。
2019年02月14日 14:02
上記の内容ですが、次のように対応しました。
単純にブロックすると、問題があるので、一旦次のように対応しました。
(1)history.pushStateは、100回を上限にする(無限に履歴を入れられるのを防止)
(2)location.reload()、location.href、assign、replaceを画面リロード後15秒間、動作させない(15秒待って実行)
(3)他ドメインページへの移動を制限
(4)<meta http-equiv="refresh"を禁止
(5)metaタグのJavaScriptからの作成を念のため禁止
単純にブロックすると、問題があるので、一旦次のように対応しました。
(1)history.pushStateは、100回を上限にする(無限に履歴を入れられるのを防止)
(2)location.reload()、location.href、assign、replaceを画面リロード後15秒間、動作させない(15秒待って実行)
(3)他ドメインページへの移動を制限
(4)<meta http-equiv="refresh"を禁止
(5)metaタグのJavaScriptからの作成を念のため禁止
2019年02月14日 22:55
既に二人採用済みですが、こちらはbのほう、固定給で連絡くださった方になります。
時給のほうは、期限ギリギリまで待ってどうするか決めたいと思います。
時給のほうは、期限ギリギリまで待ってどうするか決めたいと思います。
2019年02月15日 10:07
以下の指摘を受けています。
◆タグのonXXXイベントに""が無い場合
◆Array.filterなどから制御前のFunctionが取りだせる
(こちらのエンコード時などhttp://www.jsfuck.com/)
◆タグのonXXXイベントに""が無い場合
◆Array.filterなどから制御前のFunctionが取りだせる
(こちらのエンコード時などhttp://www.jsfuck.com/)
2019年02月15日 10:09
◆%3Cscript%3という形でscriptタグがhref等に入る場合
◆javascript:がタグに入る場合にxlink:href、from等に抜けがある
◆javascript:がタグに入る場合にxlink:href、from等に抜けがある
2019年02月16日 01:46
上記対応しました。
◆Array.filterなどから制御前のFunctionが取りだせる
→Array.filter以外も修正
◆タグのonXXXイベントに""が無い場合
→対応しました。
◆javascript:がタグに入る場合にxlink:href、from等に抜けがある
◆%3Cscript%3という形でscriptタグがhref等に入る場合
→javascript:、%3C、%3E、%3c、%3eの禁止
◆Array.filterなどから制御前のFunctionが取りだせる
→Array.filter以外も修正
◆タグのonXXXイベントに""が無い場合
→対応しました。
◆javascript:がタグに入る場合にxlink:href、from等に抜けがある
◆%3Cscript%3という形でscriptタグがhref等に入る場合
→javascript:、%3C、%3E、%3c、%3eの禁止
2019年02月16日 02:11
Bの固定給で仕事を募集してた件ですが、一旦予算に到達したため、募集を締め切りたいと思います。
2019年02月16日 13:21
発見しなければ報酬も出ない中、ありがとうございました。
正直、想像以上のスピードでした。ひょっとしたら指摘する人などいないのではと思うこともあったのですが。Cookieは当分セキュアにしておきます。
正直、想像以上のスピードでした。ひょっとしたら指摘する人などいないのではと思うこともあったのですが。Cookieは当分セキュアにしておきます。
2019年02月24日 15:46
また以下の点をこちらで依頼後に修正しています。
・IE EdgeでVueが動かないのを修正
・.cssファイルがアップロードできなかったのを修正
・linkタグの rel="import" を禁止(HTML、JS共に)(hrefからbase64エンコードでJSを埋め込める)
・cookieのセキュア化(HTTP only等)
・その他細かいバグを修正
・IE EdgeでVueが動かないのを修正
・.cssファイルがアップロードできなかったのを修正
・linkタグの rel="import" を禁止(HTML、JS共に)(hrefからbase64エンコードでJSを埋め込める)
・cookieのセキュア化(HTTP only等)
・その他細かいバグを修正
クライアント情報
最近応募したクラウドワーカー
| クラウドワーカー | 応募日時 |
|---|---|
(退会済み)
|
2019/02/23 14:02 |
|
ringing_cw
|
2019/02/20 22:13 |
|
talents111
|
2019/02/18 23:35 |
|
ako7530
|
2019/02/15 22:14 |
mosafuku
|
2019/02/13 15:35 |
yusei_wy
|
2019/02/13 15:35 |
seasidemanblues
|
2019/02/13 15:35 |
レスポンシブweb
|
2019/02/13 15:34 |
