クロスサイトスクリプティング対策 (114レス)
上下前次1-新
1: 名無しさん@お腹いっぱい。 01/10/27 10:37 ID:AENF9z2S(1/2) AAS
外部リンク[pdf]:securit.etl.go.jp
簡単にいって、フォームの入力をサーバサイドで処理してHTMLと
して出力する時に、文字のエスケープを適切に行わないと、
Cookieを取得するJavaScriptを埋め込み&出力結果を別サイトに
リダイレクトする、というような方法を使ってCookieを第三者に
盗まれる可能性がある、ということです。
上の資料を参考にしながら、
それぞれの処理系における、どのようの文字列エスケープを行うべきか、
といったサーバサイドの対策に関する情報を交換していきたいと思います。
2(1): 名無しさん@お腹いっぱい。 01/10/27 11:07 ID:AENF9z2S(2/2) AAS
とりあえずは、Perlの場合で、BBSやチャットだと、
一番カタイのはタグ禁止ということにして<,>を文字実体参照に変換してしまう
のが手っ取り早いと思います。
3: 名無しさん@お腹いっぱい。 01/10/28 03:25 ID:ZO04qCcD(1) AAS
セキュリティ板に載ってました、クロスサイトスクリプティング脆弱性の
最近の具体例が。
外部リンク[html]:memo.st.ryukoku.ac.jp
のArticle 1756。見ればわかりますがHTMLタグのエスケープ処理を
忘れてるものと思われます。<SCRIPT>タグなんか埋め込まれた日には
色々悪さされそうです。
4(1): 名無しさん@お腹いっぱい。 01/11/02 23:53 ID:bu2IICno(1) AAS
本気で対策したい人たちが読むことを期待して。
少なくともFORMから入力されたパラメタは、全て読み込んだ時点で
実体参照に置換してしまう(汚染チェックも行う)。
s/&/&/g
s/</</g
s/>/>/g
s/"/"/g
URLやHTTPヘッダもそうするべきだけど、そこまでは辛いか?後は比較などで、
元の文字列でなければ困るところだけ、一時的に元に戻すようにする。
s/</</g
s/>/>/g
s/"/"/g
s/&/&/g
(上記は2chがちゃんと処理してなかった場合ちゃんと見えないかも。
面倒なんでその場合はページのソースを見てください)
必要な箇所での戻し忘れがあった場合の不都合は、比較的簡単に目に見えるので
どってこたない。置換を忘れた場合は見つけにくい上にセキュリティ問題になる
ことを考えれば、これくらい徹底した方がいいのでは?
5: 名無しさん@お腹いっぱい。 01/11/03 00:20 ID:zLquoryW(1) AAS
男は黙って tr/\W//d
6: 4 [" on%00mouseover="alert('aa')] 01/11/03 00:48 ID:??? AAS
s/&/&/g
s/</</g
s/>/>/g
s/"/""/g
だ。下のは
s/&/&/g
s/</</g
s/>/>/g
s/""/"/g
ふー…ちゃんと&と"も置換してよ。
7: age [%00%22] 01/11/03 00:52 ID:??? AAS
age
上下前次1-新書関写板覧索設栞歴
あと 107 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.449s*