Masato Kinugawa Security Blog: ユーザ入力を使った正規表現から生じるDOM based XSS

お久しぶりです＆あけましておめでとうございます。昨年はブログを書く時間をうまく作ることができず、あまり記事を書けませんでした。今年はできるだけ月に1回程度何か書いていきたいと思っています。今年もよろしくお願いします！ さて、ブログを書かなかった間にXSSからSQLインジェクションへ興味が移った、なんてことはありませんでしたので、今日もいつも通り大好きなXSSの話をしたいと思います！ 最近、正規表現にユーザ入力を使っていることに起因するDOM based XSSに連続して遭遇しました。あまり見慣れていない注意が必要な問題だと思うので、この記事では、見つけたもの2つがどのように生じたか、また、問題を起こさないためにどうすればよいかを紹介します。 そのうちの1つはLINEのBug Bounty Programを通じて報告した問題です。 賞金と、"LINE SECURITY BUG BOUNTY"

[prototechno]

#LINE_DM

[raimon49]

＞いずれの修正も正規表現を組み立てない方法で書き直すことができているように、たいていの場合、ユーザ入力から正規表現を組み立てる必要はないはずです。 / 強力過ぎる正規表現を安易に使ってはいけないという話。

[Dai_Kamijo]

外部入力値から正規表現を構成してはいけない、と / “Masato Kinugawa Security Blog: 正規表現にユーザ入力を使っていることに起因するDOM based XSS” — 徳丸 浩 (@ockeghem) February 5, 2018 from Twitter https://twitter.com/Dai_Kamijo February 06, 2018 at

[ockeghem]

外部入力値から正規表現を構成してはいけない、と

[knjname]

信用できる、JavaのPattern#quote相当が必要。あとこれに限らずXPathとかCSSセレクタとかああいうミニ式言語は文字列のプレースホルダみたいなものは無いもんかのう…