Webアプリケーションの機能と脆弱性の対応

入力に起因する脆弱性はない→入力値チェックだけじゃだめ。

入力処理とセキュリティ

文字エンコーディングのチェックは、そもそも文字化けで気付きそう。
バイナリセーフとかヌルバイト攻撃って聞いたことがなかった。Javaにもあるのかな？→ぐぐったけどでてこない。なぞ。
ヌルバイト→%00
正規表現の \a \z :^contrl: (JavaやPerlだと \P{CC}) は使ったことがなかった。ほんとうに危険かどうかも含めて、試してみたい。

表示処理に伴う問題

クロスサイトスクリプティング(XSS)のターン。

1. 脆弱なサイトでスクリプトが実行される
2. スクリプトでクッキーのセッションIDを取得し、GETのパラメータなどにセッションIDをつけて、情報収集ページに遷移する(window.locationとかで)
3. セッションIDいただきます

セッションID盗んで、どうやってなりすますんだろう？→セッションハイジャックのところで書いてありそう。

• 反射型XSS
• 持続型XSS

持続型だと、脆弱なサイトを表示した時点でスクリプトが動いてしまう。罠サイトいらず。
いろいろなXSSがあって、いろいろな対策がある。一部を抜粋する。正しい情報はちゃんと本を読みましょう。

• 要素内容のXSS
  • < や & のエスケープをしよう
• 引用符で囲まない属性値のXSS
  • " で囲って、 < " & のエスケープをしよう
• href属性やsrc属性のXSS
  • javascript: での js 実行をされないようにしよう。URLを検査しよう。
• イベントハンドラのXSS
  • onload とか onerror とか気をつけよう。JS文字列リテラルとしてのエスケープとHTMLエスケープしよう。
• script要素のXSS
  • でJSがいったん終了させらる。対策はいろいろあるので割愛。
• DOM based XSS
  • DOMから切り出した文字列にスクリプトが埋めこまれている場合。難しいので対策は割愛。