はてなブックマーク - Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある

Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある - t_komuraの日記

d:id:t_komura

タグ : php security xss セキュリティ文字コードプログラミング programming tips web *php

コンピュータ・IT 154 users

以下のページに関連して、htmlspecialchars() を使用している場合でも XSS が可能かどうか少し調べてみました。http://www.tokumaru.org/d/20090930.htmlその結果、いくつかのブラウザで文字エンコーディングに Shift_JIS を使用していた場合、XSS が可能なことを確認しました。テストコードは以下の通りです。リンクにマウスポインタを乗せると埋め込んだ Javascript が実行されます。 $_GET['a1'] = "\xf0"; // \xf0 ... > このページを見る

最終更新時間: 2009年10月05日00時08分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

mumincacao dev, php, security, web
PHP と SJIS の合体攻撃だししかたない・・・のかなぁ？　けっきょくどのえんこ～でぃんぐ使うにしてもちゃんと確認しましょうってことで．．．〆（´・ω・｀；【みかん 2009/10/06
yuichiro0526 xss
[] 2009/10/06
mahata php, security
『PHP の htmlspecialchars() では、SJIS(Shift_JIS) の場合、\\xf0 - \\xfc を単独で指定しても排除しない(PHP 5.3.0 で確認)』『一部のブラウザでは、\\xf0 - \\xfc を Shift_JIS の先行バイトとして認識し、次の1バイトを合わせて1文字とする』 2009/10/06
ore_de_work
PHPが悪い 2009/10/05
potato777 character, security
マルチバイト文字とXSSな話 SJISだと 0x81-0x9F、0xE0-0xFC が先行バイトとして認識　htmlspecialchars だと0xF0-0xFC 以外は弾いてくれる 2009/10/05
deg84 PHP, セキュリティ, 文字コード, XSS
文字コード絡みはホント怖いわ・・・ 2009/10/05
KEINOS セキュリティ, プログラミング, 文字コード／文字化け, PHP／PEAR, クロスサイトスクリプ, 教育／ｽｷﾙｱｯﾌﾟ
Shift_JIS-2004ではF0～FCは先行バイトなので、一部ブラウザで発生するXSS問題。 2009/10/05
tpro programming, security, web開発
PHP怖い。でも人気あるんだよなぁ。 2009/10/05
Rewish PHP, 文字コード, セキュリティ
Shift_JIS 2009/10/05
p4life php
全部 SJIS で統一することなんてないと思ったけど、windows で運用しているとありえそう 2009/10/05
pimples
Operaたん……お前もか。 Opera10.00でも発動。 2009/10/05
hasegawayosuke xss
一部のブラウザでは、\xf0 - \xfc を Shift_JIS の先行バイトとして認識し、次の1バイトを合わせて1文字とする(Mozilla Firefox 3.5.3 と Internet Explorer 8(8.0.6001.18813) で確認) 2009/10/05
ockeghem php, security, xss, 文字コード
報告ありがとうございます。素晴らしいです。しかし、なぜそんな中途半端な仕様という気持ちで少々のけぞりましたが、まあPHPですしね。今後この手の検証をする際は文字通り全てのパターンを検証することにします 2009/10/05