第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編] | gihyo.jp
前回に引き続き、UTF-7によるクロスサイトスクリプティング(XSS)について説明していきます。 UTF-7によるXSSは、攻撃対象のコンテンツの文字エンコーディングが不明瞭な場合に、そのコンテンツを被害者のブラウザ(Internet Explorer)で開いたときに、そのコンテンツの文字エンコーディングがUTF-7であるとIEに誤認させ、「+ADw-script+AD4-」のようなUTF-7の文字列が有効なHTML要素として認識されるために発生します。 そして、「文字エンコーディングが不明瞭」な具体的な状況として、以下のような条件のいずれかに該当するということを前回説明しました。 レスポンスヘッダ、meta要素のどちらでもcharsetが指定されていない charsetにIEが解釈できないエンコーディング名が指定されている meta要素でcharsetを指定しているときに、meta要
![第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
セキュリティ UTF-7でXSS(クロスサイトスクリプティング)を引き起こす10の方法
Webアプリケーションのセキュリティで問題になるXSSについて。 UTF-7でクロスサイトスクリプティングの問題を発生させる10の方法についてです。 原文は、UTF-7 XSS Cheat Sheet(UTF-7 XSS チャートシート)です。 http://openmya.hacker.jp/hasegawa/security/utf7cs.html #0 解決策 UTF-7のXSS対策は: charsetを明確に指定する(HTTPヘッダでの指定を推奨します)。 <meta>の前に攻撃者にテキストを置かせてはいけません。 ブラウザが認識できるcharset名を指定します(間違った指定が世の中にあふれています)。 #1 もっとも基本的なパターン UTF-7における +ADw-script+AD4-alert(document.location)+ADw-/script+AD4- は <sc
UTF-7 XSS Cheat Sheet
Countermeasures against XSS with UTF-7 are: Specify charset clearly (HTTP header is recommended) Don't place the text attacker can control before <meta> Specify recognizable charset name by browser. For more information about UTF-7 trick, see "Cross-site scripthing with UTF-7". These XSS patterns are tested on IE6 and IE7. Yosuke HASEGAWA <hasegawa@openmya.hacker.jp> Last modified: 2008-01
36. UTF-7とクロスサイト・スクリプティング
UTF-7エンコードの特性を利用したクロスサイト・スクリプティング(UTF-7 XSS)を紹介します。この攻撃はブラウザが出力をUTF-7として認識した場合に生じるものです。日本ではUTF-7は一般的ではありません。しかし、プログラマはこういった文字コードとXSSの関係を把握しておくべきでしょう。 まずは、ブラウザが出力をUTF-7と解釈した場合にJavaScriptが実行されてしまうことを確認しましょう。次のコードをUTF-8等の文字コードで保存し、ブラウザから開いて下さい。 <?php mb_internal_encoding('UTF-8'); $str = "<script>alert('XSS');</script>"; $str = mb_convert_encoding($str, 'UTF-7'); header("Content-Type: text/html; char
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
