PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む

先に、「CVE-2008-5814を巡る冒険」にて、CVE-2008-5814脆弱性があるとdisplay_errorsがOnの環境下でXSS脆弱性となる場合があることを説明しました。しかし、display_errorsがOnの環境下ではCVE-2008-5814脆弱性がなくても、XSS脆弱性となる場合がしばしばあります。 これは、display_errorsによるエラーメッセージ表示がHTMLエスケープされていないことが原因です。簡単なサンプルを以下に示します。 <?php ini_set('display_errors', 1); // display_errorsを有効にする $a = array(); // 配列の生成 $index = $_GET['x']; // 配列のインデックスを得る $b = $a[$index]; // 配列の要素にアクセス このスクリプトに、x=<sc

[ftnk]

php, security

[kijtra]

気をつけないとね。Googleのキャッシュにいつまでもエラー文字出てたりねw

[tmatsuu]

phpのdisplay_errorsはOFFに！OFFに！お・ふ・に！

[k-holy]

外部由来のスーパーグローバルのキーを片っ端からサニタイズしてるコード見たことあるけど、もしかしてこれの対策だったのかな

[ya--mada]

値も出力してたっけ？

[rryu]

display_errorsによるエラー表示がエスケープされていなかったとは。外部からの入力値が表示されることはあまりないから発覚しずらかったのか。

[mikage014]

「一般論としても、エラー画面にはクロスサイトスクリプティング脆弱性が生じやすいという経験則があります」

[jiskay]

例えば、display_errorsを避ける

[ysk_lucky-star]

いくらエラーメッセージとは言え、エスケープしとくべきだと思うが。。。

[siteworkers]

なるほど

[takun71]

まじかよwwwエスケープしてねえのかよww

[oppara]

PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む | 徳丸浩の日記

[asuka0801]

エラー内容でも楽しいXSS

[fukken]

まあ、そもそも脆弱だった場所が、予想以上に脆弱だった系の話

[field_combat]

エラーメッセージにXSSを仕込めるのか・・・

[ww_zero]

それが何であれ、ブラウザに出力する文字列であるからには、HTMLエスケープされていて然るべきだよな。

[ockeghem]

日記書いた