http://blog.gijutsuya.jp/harajune IT, Jazz, study, engineering, すべての真実とクリエイティビティのために Tue, 13 Sep 2011 08:59:51 +0000 http://backend.userland.com/rss092 en http://blog.gijutsuya.jp/harajune/2011/09/13/%e3%83%96%e3%83%ad%e3%82%b0%e3%81%8a%e5%bc%95%e3%81%a3%e8%b6%8a%e3%81%97/ 本投稿では、XSSの事例と背景について説明するとともに、その対策として「コンテキストを減らす」「コンテキストごとのエスケープ」「安全なプログラミングの手法」を示しひとつのXSS対策の指針を示す。 また最後に、もともこもない対策方法として「base64で対策したらこうなった」という話をする。 本投稿は、「安全な」対策方法としてはまだ開発段階にあり、鵜呑みにするのは危険であることをご了承いただきたい。自己責任。 目次 XSSとは XSSの原理と背景： コンテキストとエスケープの関係 XSS対策が困難な理由と、その対策 コンテキストの削減 コンテキストごとのエスケープ 安全なプログラミング指針 すべてをhtmlエスケープしてしまうfail safeの欠点 もともこもない対策： base64 まとめ XSSとは XSSとはCross Site Scriptingの略であり、掲示板などのユーザ投稿型のwebサービスに対して「悪意のあるスクリプト」を投稿し、開発者の意図しない動作をさせるセキュリティーホールの一種である。 Smartyテンプレートとphpでの具体的な例を挙げる。以下の様なtest.phpとtest.tplがあったとする。ここでは、簡単のため必要なrequireや定数・変数の定義などは省いている。 PLAIN TEXT CODE: // test.php   <?php   $smarty = new Smarty();   $smarty->assign("value1", $_GET["form1"]);   $smarty->display("test.tpl");   ?> PLAIN TEXT CODE: {* test.tpl *}   {$value1} [...]]]> http://blog.gijutsuya.jp/harajune/2010/11/19/one-method-for-xss-protection/ http://blog.gijutsuya.jp/harajune/2010/11/16/3x5/ http://blog.gijutsuya.jp/harajune/2010/09/28/ruby-consumes-memor/ http://blog.gijutsuya.jp/harajune/2010/09/23/text-grammer-language/ http://blog.gijutsuya.jp/harajune/2010/09/14/to-be-interesting/ http://blog.gijutsuya.jp/harajune/2010/08/31/how-to-get-script-working-dir/ http://blog.gijutsuya.jp/harajune/2010/08/26/how-to-stop-x-server-from-ssh/ http://blog.gijutsuya.jp/harajune/2010/08/21/ruby-1-9-3-%e3%81%a7-readline6-%e3%82%92%e4%bd%bf%e3%81%a3%e3%81%a6%e3%82%b3%e3%83%b3%e3%83%91%e3%82%a4%e3%83%ab%e3%81%a7%e3%81%8d%e3%81%aa%e3%81%84/ http://blog.gijutsuya.jp/harajune/2010/08/18/vim73_compile_patch/