第8回 クロスサイトスクリプティング対策の落とし穴 | gihyo.jp

今回は熟練したWebアプリ開発者なら常識のクロスサイトスクリプティング対策の落とし穴を紹介します。 JavaScriptを排除しているつもりで排除に失敗？！ 最近はSanitize（サニタイズ）という言葉の代わりにValidation（検証）という言葉をよく聞くようになったと思います。Sanitizeの意味を辞書で調べると「汚れている物をきれいにすること」とされています。この意味の通り汚れた変数をきれいにして使えば安全に利用できるとする考え方に基づくのがサニタイズ手法です。典型的な例は、「⁠テキストを出力する前に"<"と">"を取り除く」方法があります。 例1 "<"と">"をereg_replaceで取り除く $safe_text = ereg_replace($_GET['text'], '[<>]', ''); この$safe_textを <a href="/script.php?t

[catandheavymetal]

ツッコミ待ちとしか思えないような秀逸な記事。「落とし穴」って言うか自分で墓穴を掘ってるだけだと思います。

[WhatAmILookingFor]

“ereg_replaceはバイナリセーフではないので，ヌルバイト攻撃に脆弱です。このためヌル文字（\0）以降の文字列は正規表現による置換対象となりません。”

[kana321]

なぜPHPアプリにセキュリティホールが多いのか?

[sylvan_l]

最近はSanitize（サニタイズ）という言葉の代わりにValidation（検証）という言葉をよく聞くようになったと思います

[webmarksjp]

development

[ryuzee]

Webアプリでの脆弱性の防ぎ方（ブラックリストではなくホワイトリストで実装）

[mumincacao]

利用者さんの心構えのほうがもっとせきゅりてぃほ～る多いけどにう．．．〆（´ω｀；【みかん

[cockok]

ereg_replaceを使っていることに違和感が。

[restartr]

結局、「クロスサイトスクリプティングはWebサーバ側のプログラムだけでは対処できません。アプリケーション／システム全体として対処しなければなりません。」というオチ。

[heavenshell]

PHP の XSS 対策。サニタイズではなく Validation

[FTTH]

用途を念頭に置いた対応をせよ。というか「サイバーテロの技法」を読め。以上。　／　で良くね？

[haida]

xssとか

[cubed-l]

言い換えればいいってもんじゃない

[TAKESAKO]

このことについては2ヵ月後ぐらいにあとで書く予定

[hasegawayosuke]

感想「サニタイズいうな。でも、何かが違う。」 validationはXSS対策のためではない。