[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!

最終回 XSSの正体見たり 騙りタグ

初出:WEB+DB PRESS Vol.49(2009年2月24日発売)

セキュリティ, XSS, サーバ, 誤認識, 文字参照

この記事を読むのに必要な時間:およそ 0.5 分

<前回のお話> XSSの正体は,タグに使用される特定の記号を本来とは異なる個所に用いることで,サーバの誤認識を誘発することと知ったわかばちゃん,⁠難しくない⁠というその対策とは!? そして気になる2人のカンケイは!? 読者100万人を巻き込んだ,衝撃と感動の一大スペクタクルがいまここに完結!

登場人物紹介

はまちちゃん
さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性。

わかばちゃん
メガネがかわいいネット大好き14歳。プログラムはちんぷんかんぷんだけど, 乙女の勘で今日もガンバル。

画像

画像

画像

まとめ

「おまじない」の中に,⁠属性部分に外部から入力された動的な文字は埋め込まない」とありますが,Webアプリを作るうえでどうしてもフォームのvalueに埋め込みたいときもあります。そのような場合は属性値を必ずエスケープしておき,クォートでくくるようにしましょう。また,⁠JavaScript内に埋め込むとエスケープが複雑」とあるのは,たとえばバックスラッシュがJavaScript内でどのような働きをするのか考えてみるとよいかもしれません。どうしてもJavaScript内で外部入力された動的文字を使いたい場合は,HTML側でhidden指定した要素のvalueに埋め込んでおき,それを取得するといった方法が安全でしょう。

さて,セキュリティ講座はこれでおしまい…。
だが続く。

セキュリティ, XSS, サーバ, 誤認識, 文字参照

著者プロフィール

はまちや2(通称はまちちゃん)

mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』

URL:http://d.hatena.ne.jp/Hamachiya2/

竹原(たけはら)

はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。

URL:http://mint37.net