クロスサイトスクリプティング

セキュリティ

クロスサイトスクリプティングとは?

 状態:-  閲覧数:2,039  投稿日:2014-05-15  更新日:2018-04-26  

表記


英語
・cross site scripting

略称
・XSS
※「CSS」ではなく「XSS」と表記される理由は、同分野でよく使用される「Cascading Style Sheets」の略語と同じになることを避けたため

ユーザのブラウザ上で悪意のあるスクリプトを実行させるセキュリティ攻撃


Webアプリケーションの脆弱性を利用した攻撃
・「悪意あるコードを埋め込まれたWebサイト」を訪れたユーザが、ユーザ自身の利用ブラウザ上で、意図せず不正なスクリプトを実行させられてしまうこと
(別のサイトに仕組まれた悪意のあるコードを、利用者自身のブラウザで実行してしまうこと)
・Webサイトの利用者が入力した内容をそのまま画面に出力するプログラムには、この脆弱性が存在する

攻撃対象は?
・「スクリプト埋込可能な脆弱性」があるWebサイト
・出力処理に問題があるWebサイト

攻撃内容
・Webサイト内で動的にHTMLやJavascriptを生成している部分に、悪意のあるコードを埋め込む

Webサイト攻撃の結果、実際に悪影響を被る対象は?
・そのWebサイトのページを閲覧しているユーザ
・具体的には、標的となったサイトで任意のJavaScriptを実行させられてしまうことが問題となる
・Webサイト自体は、直接の悪影響を被らない


攻撃と被害の流れ / クロスサイトスクリプティング処理を実行するタイミング / 対策は3種類

 閲覧数:369 投稿日:2014-05-21 更新日:2018-04-26 

攻撃と被害の流れ


1.攻撃
・XSSの脆弱性があるページに、悪い人がスクリプト(多くの場合Javascript)を埋め込む

2.被害
・そのページを開いたユーザが攻撃を受けてしまう

クロスサイトスクリプティング処理を実行するタイミング


入力で処理しても良い?

・エスケープ処理のタイミングは入力データのチェック時ではなく、HTMLの生成時(出力時)に行うべき
・いろんな入力源から入り込んでくるデータを漏れなくエスケープ処理できるから

小さなプログラム
・どちらでも良い
・数行程度のプログラムなら、入力直後で処理するのも、HTML出力の直前で処理するのも同じこと

大規模プログラム
・入力から出力までのデータフローは長くて複雑なパス(道のり)を構成
・真ん中あたりで処理するのは最悪
・処理されているかいないかの確認が難しくなるから

・入力直後か出力直前

入力直後のエスケープ処理が良くない理由
・入力時点では値の目的が不明
・「<」を「&lt;」に変換する必要があるのは、その値がHTML出力で使われるという理由から
・その入力値が、もしSQL文の一部として使われるならば、SQLインジェクション対策をしなくてはならない。具体的には「'」の文字を処理
・SQL文にも使われるしHTML出力にも使われるなら、両方処理する必要がある
・入力直後でサニタイズすると、両方処置した値がHTML出力に使われたとき、無駄に「'」がエスケープされて「''」とか「\'」と表示されてしまうという、マヌケなことが起きる

・「外部からの入力に依存していない値については(セキュリティ上問題ないので)エスケープを省略する」という発想は、利益がない(いまどきそんな省略で性能に変化が出ることはない)ばかりか、メンテナンス性を悪くし、脆弱性の原因となります。

・クロスサイトスクリプティング脆弱性を排除するには、HTML文字列を書き出す部分で、「<」などを「&lt;」などに変換(エスケープ処理)すればよい

対策は3種類


1.HTMLエスケープ
2.URL属性部分の対応
3.イベントハンドラ属性の対応

クロスサイト・スクリプティングの脆弱性を有するコード例

 閲覧数:693 投稿日:2014-05-21 更新日:2018-04-26 

脆弱性コード例


予め、$_GET["name"]に不正なJavaScriptを格納させてお
<?php
$_GET["name"] ='<script language="JavaScript">alert("危険な処理")</script>';
?>[


エスケープせずに、そのまま画面出力すると、任意のJavaScriptが実行されてしまう
<?php
$name = $_GET["name"];
print("ようこそ、{$name}さん!");
?>



対策を施したコード例


クロスサイト・スクリプティング対策を施したコード例
・$_GET["name"]に不正なJavaScriptを格納
<?php
$_GET["name"] ='<script language="JavaScript">alert("危険な処理")</script>';
?>


対策1.htmlspecialchars()関数を使って,<,>,",',&をHTMLエスケープ
// もしくは,htmlspecialchars()関数を使って,<,>,",',&をHTMLエスケープする
$name = htmlspecialchars($_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、<script language="JavaScript">alert("危険な処理")</script>さん!


対策2.str_replace()関数を使って,<と>を削除
// str_replace()関数を使って,<と>を削除する
$name = str_replace(array("<", ">"), "", $_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、script language="JavaScript"alert("危険な処理")/scriptさん!


対策3.strip_tags()関数を使ってタグを取り除く
// もしくは,strip_tags()関数を使ってタグを取り除く
$name = strip_tags($_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、alert("危険な処理")さん!



HTMLエスケープを行う関数


主に3種類

1 htmlspecialchars
・「<」「> 」をそれぞれ「&lt;」「&gt;」へ置換
・ 変換に使用されるエンコーディング指定を省略した場合のデフォルト値は、PHP 5.4.0 以前のバージョンでは ISO-8859-1 なので、注意が必要
$hoge=htmlspecialchars($_GET["hoge"],ENT_QUOTES,'UTF-8');


2 str_replace
・「<」と「>」を削除

3 strip_tags
・「<」から「>」で囲まれた範囲を削除

XSS脆弱性対策(1) - エスケープ処理

 閲覧数:596 投稿日:2014-05-21 更新日:2014-05-21 

エスケープ処理とは?


・スクリプトとして意味を持つ文字を無効化する


具体的な対応


htmlspecialchars関数でエスケープ処理
& → &amp;
< → &lt;
> → &gt;
" → &quot;
' → &#39;


XSS脆弱性対策(2) - URL属性部分の対応

 閲覧数:620 投稿日:2014-05-21 更新日:2014-08-27 

URL属性とは?


・aタグのhref属性やimgタグのsrc属性など、URL指定するタグ属性のこと
<a href="★★">テスト</a>

・URL属性部分に入力データを埋め込む場合、単純な置換処理では対応不可
・エスケープ処理をしてもスクリプトを埋め込まれ実行される可能性がある

htmlspecialchars()関数でエスケープ処理しても、Javascriptが実行されてしまう例
<?php 
$input = 'javascript:alert(\'clicked!\');' // ユーザからの入力値(本来は$_POSTなどで受ける)
?>
<a href="<?php echo htmlentities($input,ENT_QUOTES); ?>">click</a><br>
<a href="<?php echo htmlspecialchars($input,ENT_QUOTES,'UTF-8'); ?>">click</a>



対策


・許可するスキームを(https, http, mailto)などを定義し、それと一致するかどうかでチェック実施
・最も良い対策は、URL属性にあたるところを、ユーザーからの入力に依存するような作りにしないこと

XSS脆弱性対策(3) - その他の注意すべき点 / イベントハンドラ属性

 閲覧数:649 投稿日:2014-05-21 更新日:2014-05-22 

イベントハンドラ属性


・onmouseover
・onchange
・onload
・onfocusなど
<span onmouseover="★★');">テスト</span>

何が問題?
・エスケープ処理をしてもスクリプトを埋め込まれ実行される可能性がある

対策
・埋め込みたいスクリプト関数名のリストを予め用意しておき、入力データに対応するスクリプト関数名を埋め込む
・入力データをそのままイベントハンドラ属性部分に埋め込んではいけない


script タグ


script タグで囲まれている部分
<SCRIPT src="★★"></SCRIPT>


style 属性


<br style=left:★★>
<style type="text/javascript">★★</style>

外部スタイルシートへのリンク
<link rel="stylesheet" href="★★">


Twitter検索結果。「クロスサイトスクリプティング 」に関する最新ツイート

撮り貴族(Keigo) #キャリアハイを更新させます @keigo1456
平田睦@ディレクター他、色々フリーランサー @mutsumihirata
HAYATO@OSSノーコード・ローコード開発「プリザンター」 @pleasanter_oss

register_globals

SQLインジェクション

コメント投稿(ログインが必要)



週間人気ページランキング / 5-26 → 6-1
順位 ページタイトル抜粋 アクセス数
1 ブラウザを閉じたらセッションデータはどうなるの? | セッション 30
2 Parse error: syntax error, unexpected 'public' (T_PUBLIC) | Parse error(エラーメッセージ) 13
3 PHP用語 12
3 Fatal error: Uncaught RuntimeException: SplFileObject::__construct(): failed to open stream: Permission denied in | Fatal error(エラーメッセージ) 12
4 スコープ | 変数 11
5 Fatal error: Access level to ▲::$△ must be protected (as in class ●) or weaker | Fatal error(エラーメッセージ) 10
5 ブラウザを閉じたらセッションデータはどうなるの? | セッション 10
6 Fatal error: require_once(): Failed opening required 'PEAR.php' | Fatal error(エラーメッセージ) 9
7 セッションID | セッション 8
8 セッション管理が必要な理由は、HTTPプロトコルには状態を保持する機能がないため | セッション 7
9 Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ | Warning(エラーメッセージ) 5
9 Warning: include() [function.include]: Failed opening '**.php' for inclusion (in | Warning(エラーメッセージ) 5
9 コード例 … 「例外処理」はネストすることができる 5
10 curl | その他のサービス 4
10 型の種類 | 型 4
10 Cookie | クッキー 4
10 @ | 演算子 4
10 Warning: PDO::query(): LOAD DATA LOCAL INFILE forbidden | Warning(エラーメッセージ) 4
10 Fatal error: Call to undefined method MDB2_Error::execute() in ○○ on line △△ | Fatal error(エラーメッセージ) 4
11 Fatal error: Cannot access protected property ○○ in △△ on □□ | Fatal error(エラーメッセージ) 3
2023/6/2 1:01 更新