XSSって怖ぇ~~

とあるサイトでXSSができてしまうことを偶然発見しました。

ところが普段私が使ってるChromeだとブロックしてくれるらしく、スクリプトの実行まではされませんでした。そこで他のブラウザではどうなってるのだろうと思って調べてみました。

検索窓などを想定したXSSぜい弱性のあるPHPコード


<?php
function xssPrint($post_name){
if($_POST[$post_name] == '')
return;
$text =mb_convert_encoding($_POST[$post_name],"UTF-8","auto");
if(get_magic_quotes_gpc())
$text= stripslashes($text);
print $text;
}

function xssPrint2($post_name){
if($_GET[$post_name] == '')
return;
$text =urldecode(mb_convert_encoding($_GET[$post_name],"UTF-8","auto"));
if(get_magic_quotes_gpc())
$text= stripslashes($text);
print $text;
}
?>

<html>
<head><title>XSS test</title></head>
<form name="form" method="post" action="XSS.php">
Fromで送信するタイプ
<input ype="text" name="xss1" value="<?php xssPrint('xss1');?>" ><br />
URL引数で送信するタイプ
<input ype="text" name="xss2" value="<?php xssPrint2('xss2');?>" ><br />
<button type="button" onClick="location.href='XSS.php?xss2='+encodeURI(document.form.xss2.value)">URL引数</button>
<button type="submit">From</button>
</form>
</html>

これに対して
ぬるぽ♪" /><script type="text/javascript">window.alert("...Hello. Mr. ....");</script>

と送ってみると、実行されちゃうことがわかります。ちゃんと実用アプリではユーザーの入力値はよほどのことがない限り、
htmlescape()しておくか、スクリプトタグ、iframeを拒否するようにしましょう。
コメントを頂いてやっぱり、ちゃんとhtmlescape()しておいた方がいいと思いました。しかもオプションで用意されている引数を指定した方がいいみたいです。hakさん、ありがとうございました。

調査結果


ブラウザ ぜい弱性の種類 調査結果
Chrome 4.0.249.78 URL OK
From OK
IE8 URL OK
From NG
FF3.6 URL NG
From NG
Safari URL NG
From NG

…Chorme最高!どっちの場合もちゃんとブロックしてくれました。FormのほうはURLの場合に比べて遭遇する可能性は少ないと思いますけど、たとえばFormに値を自動入力して、自動でポストしちゃうスクリプトをブックマーレットとして作ってTwitterのおかげで大活躍なURL短縮サービスかなんかで一見わからないようにしておけばURLと変わらなくなります。

まぁそもそもこういうぜい弱性を作っちゃう開発者が悪いのですが、安全なことにこしたことはありません。

ってことで、Chromeお勧めだよ!!爆速だよ!便利だよ!軽いよ!!(笑)

コメント

  1. hak2010年2月10日 23:29

    ALAINはともかく、商用では重要な問題ですよね。勉強になりました

    http://www.phppro.jp/phptips/archives/vol4/3
    ↑プログラム側ではこんな対応もあるみたいですね

    返信削除
  2. kassyi2010年2月10日 23:52

    @hakさん
    おお!そうか、HTMLタグの「onMouseover」とかでもスクリプトが実行できちゃうんでしたね。こちらこそ勉強になりました。

    返信削除

コメントを投稿

このブログの人気の投稿

【ファイル偽装】zipとしてもjpgとしても扱えるファイル

イメージ
なんとなくzipファイルについて調べていたらzipはファイルの先頭にも後ろにも任意のデータを挿入できるらしいということがわかりました。そこでいわばファイル偽装ってやつをやってみようと思ったのです。 この方法なら別途ソフトを入手しなくても普通の解凍ソフトさえあれば簡単にファイルを隠匿/抽出ができます。 やり方 ファイルを隠すためのjpg(ここではcore.jpgとする)を用意 隠すファイルをzipする(zipしたものをhidden.zipとする) コマンドプロンプトで copy /b core.jpg + hidden.zip output.zip.jpg 完了。output.zip.jpgが偽装されたjpgファイルになります 非常にシンプルでコマンドプロンプトからもできるファイル偽装です。大勢多数の人はいちいち画像ファイルをバイナリエディタでzip特有のPK(50 4B)から始まるヘッダーがあるかどうかなんて確認しませんしね。もしファイルを隠したければたければこれが一番簡単だと思います。 結果 まぁ説明はともあれ、そうやって作られた画像がこれです。 この画像をDLして拡張子をzipにするとzipの仕様書に正しく則って作成された解凍ソフトなら「this is secret file.txt」という空のテキストファイルが入手できると思います。私が確認した中では7zなら解凍出来ました。 さらに偽装レベルを上げる方法 更に偽装を重ねるとすればjpgをpdfに変換してしまう方法です。 画像梱包 というソフトを使えばjpgにpdfヘッダを付け加えてくれるのでpdfファイルのように見えます。2段階の偽装になります。 まぁ、偽装なんてしなくても暗号化すれば一発なんですけどね。このエントリの目的は、他人に読まれないことじゃなくていかに遊ぶか、ですからw
続きを読む

LaVieTab E(PC-TE510S1L)を買ってrootを奪取した話

イメージ
※警告:この記事に掲載されている情報を用いて実行した結果については一切の責任を負いません。 これを御理解頂ける人のみ自己責任にて参考にしてください。 LaVieTab E(PC-TE510S1L)の紹介 簡単に紹介すると コスパがいい ほぼカスタマイズされていない。ほとんど元のAndroidのまま(Nexusシリーズ比) 画面でかい さくさくぬるぬる ちょっと難儀するけど、執筆時現在の最新のromでもroot権限奪取できる
続きを読む