hiddenなinput要素のXSSでJavaScript実行

脆弱性診断をやっていると、たまにtype=hiddenのinput要素にXSSがあるけど、現実的な攻撃には至らないものにぶちあたることがあります。サンプルコードを以下に示します。 <body> 入力確認をお願いします。 <?php echo htmlspecialchars($_GET['t']); ?><br> <form action='submit.php'> <input type='hidden' name='t' value='<?php echo htmlspecialchars($_GET['t']); ?>'> <input type='submit'> </body> 正常系の呼び出しは下記のようになります。 http://example/hidden-xss.php?t=yamada HTMLソースは下記の通りです。 <body> 入力確認をお願いします。 yamad

[mattn]

PHP-er はいい加減コンテキスト関係なしに htmlspecialchars を使う文化を捨てた方がいいと思う。

[otchy210]

そんなマニアックな Firefox の仕様あったのか。マニアックであればあるほど攻撃には使いやすい (対策されにくい) という事で、こういうのよく見つけてくるなぁ。

[YaSuYuKi]

バグであることに変わりはないので淡々と直すべき

[kikuzou]

accesskey

[sawat]

value属性がtype属性よりも先にある場合は、typeを二重定義させてhidden以外に変更してからonmouseoverとかもできそう

[ww_zero]

シングルクォートもサボんないでちゃんとエスケープしようぜ、というお話やね。つーか htmlspecialchars() の第二引数は ENT_QUOTES をデフォルトにして欲しい

[deep_one]

アクセスキーを設定するのか…使ったことないな、アクセスキー。

[yamap_55]

そもそも「SHIFT+ALT+X」って何をするショートカットなの？/accesskeyって赤字で書いてあった。。。 参考 → http://www.tohoho-web.com/html/attr/accesskey.htm

[pochi-mk]

ぎょええええ