XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス

メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下

[jt_noSke]

滅入る

[kotas]

まちがい：「うおっ！ ダブルクォート使えないようにしなくちゃ！！」 せいかい：「ふーん。まあ適切にエスケープしてるし問題ないな」

[lesamoureuses]

..が入ったキャリアメアドを弾くvalidateメソッドを""で全体囲むことでスルーさせたの思い出した

[tiadeen2]

あぁ、XSSの箇所は「echo "ログイン成功です(id:$id)";」のとこか。$idがバリデーション通ったからといって裸でechoしたらアカンね。

[stk2k]

メールアドレスだからと言ってHTMLエスケープをサボるな、という記事と受け取りました。実際エスケープしていなかった箇所をチェックして対策。助かります。

[tmtms]

ネタとしては面白いけど、これ見てメールアドレスの入力のダブルクォートを弾かないと危険だと思う人がいたら間違い。

[ya--mada]

妙なルール広まっちゃってるのか。せめて + くらいは使わせてほしい。そんでバリデーションゆうのは、アプリから見て正当な入力をチェックすることであってセキュリティ要件かどうかは、また別の問題てことかな？

[FTTH]

べんり

[stealthinu]

うおお…　filter_varってまじめにRFC5322の対応してあるのか…　逆に不真面目に「"」クオーテッドのは通さないほうが安全だな。ソースまで示してあるのにブ米に危なさ理解できてない人がいるのが残念な感じ。

[s025236]

そろそろ大御所が出張ると思ったｗ/DBはプレースホルダを使う、OUTPUTは適切にエスケープするのが正解で入力をエラーにしろって話じゃないからね！(自分はめんどくさいからエラーにするが)

[Dai_Kamijo]

SQLインジェクションとXSSの両方が可能なメールアドレスに仕事の依頼が来たw — 徳丸　浩 (@ockeghem) August 20, 2015 from Twitter https://twitter.com/Dai_Kamijo August 21, 2015 at 09:18AM via IFTTT

[Yeshi]

ほえー

[namikawamisaki]

電子メールアドレス

[nrtm]

おもろい 'XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス | 徳丸浩の日記'

[wnoguchi0727]

こんな頭のおかしいメールアドレスが存在するのか

[tsh71]

セキュリティテストの項目に加えたい

[nilab]

XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス | 徳丸浩の日記

[Arison]

こんなメールアドレスは嫌だ。

[tyru]

RFC5322こわい

[betelgeuse]

空コメント/**/がスペースか…

[yuiseki]

"><script>alert('or/**/1=1#')</script>"@example.jp

[nisezen]

ダブルクォート云々より/**/がスペースの代わりになることの方に感心した。なるほどー。

[tsupo]

ある意味、最強のメールアドレス

[psne]

XSS & SQLインジェクション

[takehana_masaki]

RT: "XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス | 徳丸浩の日記"

[masatomo-m]

+1

[denken]

"><script>alert('or/**/1=1#')</script>"@example.jp

[masapon49]

φ(｀д´)ﾒﾓﾒﾓ...

[naga_sawa]

RFC valid で XSS と SQL インジェクションを並立させるアドレスと/インジェクションはプレースホルダで防げるとして XSS は (id:$id) か/アドレス valid で安心してたらアカンと

[bouzuya]

こういうのみるとメールとかもっと良いもので置き換えできないのかと思ってしまう。

[kijtra]

で、ダブルクォート取れば解決するのかな…？

[rindenlab]

嫌なアドレスだ…

[todesking]

便利情報だ

[shag]

ひと粒で二度おいしい的な。[neta]

[outotsu]

XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス | 徳丸浩の日記