クロスサイトスクリプティング対策

クロスサイトスクリプティング対策 (114ﾚｽ)
上下前次 1-新

15: 神じゃないけど [&{alert('降臨')};] 01/11/05 23:36 ID:??? AAS
ネスケで見てる人はあまりいなかったのかage

16: 名無しさん＠お腹いっぱい。 01/11/05 23:40 ID:gvBrmPxu(1) AAS
真の神は、やっぱりMSのPassportでしょ。

外部ﾘﾝｸ[html]:www.zdnet.co.jp

17: 名無しさん＠お腹いっぱい。 01/11/06 01:05 ID:??? AAS
神はみんなに平等にcookieを読む権利を与えたのだ

18: 名無しさん＠お腹いっぱい。 01/11/06 01:28 ID:??? AAS
パンが無ければCookieを食べればいいじゃない。

19: 01/11/06 13:33 ID:hz5ky/YY(1) AAS
くそ・・・ネスケ４で見たら落ちたよ（涙）

20(1): 名無しさん＠お腹いっぱい。 01/11/06 15:28 ID:??? AAS
>>13
そーいや、それについての警告を見た事無いな。
何処かに名文ないものかな？

21(1): 名無しさん＠お腹いっぱい。 01/11/06 16:19 ID:8Is73jkR(1) AAS
>>20
これとか：
外部ﾘﾝｸ:www.securityfocus.com
この著者は先日MicrosoftのPassportの問題を指摘した人物。
Apache Softoware Foundationのメンバーで、1.3.11の同脆弱性を直した人。

22(2): 名無しさん＠お腹いっぱい。 01/11/09 00:12 ID:ShSwDwY3(1) AAS
いや明日仕事で、うちの会社で開発したwebサービスの
クロスサイトスクリプティング対策をやんなきゃいけなくって、
できる限りﾔﾊﾞｰｲのを発見しないといけないんだけどさー、
どうするのがいいかねぇ。

23: 名無しさん＠お腹いっぱい。 01/11/09 00:42 ID:??? AAS
>>21
英語か:-(
誰か和訳してくれないものかな。

24: 名無しさん＠お腹いっぱい。 01/11/09 21:56 ID:QF/0zNjv(1/2) AAS
>22
まず、実体参照への変換関数(メソッド)を固定の記号に置き換えて返すように変更して実行してみる。
例えば"====================="とか。
そして、フォームの全てのパラメタに"**************************************************"とかの
目立つ文字列を入れてみて、後者がブラウザ上に現れたらアウト。
※hiddenフィールドもチェックしないとね

ただしそれだけだと、URLやHTTPヘッダのチェックが見落としやすいな…。
URL等をブラウザに表示している箇所は、"*********..."が表示されるはずだからそうなっていない
生のURLやUser-Agent等のヘッダの文字列が表示されていたらアウトなわけだけど…。

25: 名無しさん＠お腹いっぱい。 01/11/09 21:57 ID:QF/0zNjv(2/2) AAS
後は全エラー画面をチェックしないといけないが、これは画面よリソースをチェックした方が早いだろうなぁ。

26(1): 名無しさん＠お腹いっぱい。 [age] 01/11/09 23:25 ID:??? AAS
PHP 使ってますが。
フォームからのものとか、REMOTE_ADDR、REMOTE_HOSTなど
すべて strip_tags() してますが、安全でしょうか？

27(1): 名無しさん＠お腹いっぱい。 01/11/10 00:07 ID:9tmYIcvX(1) AAS
たぶん。としかいえんなぁ。変換関数が組み込みのものだと24に書いたみたいなテスト方法は駄目だね。
要はそれを忘れてないかどうかが問題なので。
環境変数等から変数に代入する時点で変換するというポリシーが貫けているなら、
この問題に対してはほぼ安全と思う。

28: 26 01/11/10 00:58 ID:??? AAS
>>27
とりあえずhiddenを含め全部やってるはずなので、一応安心しておきます。

29(1): cookieが表示されない [jab1@lists.em5000.com] 01/11/12 16:46 ID:??? AAS
セキュリティホール memo
外部ﾘﾝｸ:www.st.ryukoku.ac.jp の
MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection (セキュリティアンテナ, 2001.11.09)にあるデモ

外部ﾘﾝｸ:www.solutions.fi
でamazon.co.jpを読むと（事前にamazon.co.jpのcookieを取り込んである）
MSIE cookie vulnerability test page
This page displays the cookies found on your browser for site amazon.co.jp:
Cookies:
No cookies found for site...
Click here to make new search for cookies.
省10

30: 名無しさん＠お腹いっぱい。 01/11/12 17:13 ID:??? AAS
>>29
IE5.5とIE6しか再現しないそうだ

31: ＞３０ [jab1@lists.em5000.com] 01/11/12 18:24 ID:??? AAS
ＩＥは５．０１ＳＰ２です。
外部ﾘﾝｸ[asp]:www.microsoft.com
によると、
テストしたバージョン :
マイクロソフトは Internet Explorer 5.5 SP2 および 6 のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポート (英語情報) の対象となっていないため、この脆弱性による影響は不明です。
とのこと。
ということは、５．０１でも危険ということだろうか。

32: 名無しさん＠お腹いっぱい。 [age] 01/11/26 07:56 ID:??? AAS
age

33: 名無しさん＠お腹いっぱい。 01/12/17 07:29 ID:BojNQSph(1) AAS
age

34: テスト 01/12/19 07:01 ID:RLJpoDQa(1) AAS
外部ﾘﾝｸ:pc.2ch.net

上下前次 1-新書関写板覧索設栞歴

あと 80 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.013s