ssig33.com - 最近見つけた意外な XSS

ほぼ出オチに近いんですが。 これで発動する XSS を実際に見かけました。 iOS アプリと Web アプリが両方あるアプリである Web アプリがわにアカウントにひもづいているデバイスを一覧できる画面や投稿元デバイス名が表示される画面がある そこでデバイス名がエスケープされてない という事例です。一昔前は Rails や CakePHP やらがテンプレートエンジンで普通に HTML を出力すればエスケープしてくれたものですがが、最近は JavaScript で HTML を構築することが多く、手動でエスケープするような暗黒時代に戻ってしまっている感があります。 「たいていのところはちゃんとエスケープしてあるけど、↑のような意外なところが抜けてたりする事例があります。 iOS のデバイス名由来のものについては簡単に調べた結果 3 件ほど XSS を見かけたので、それについては報告はしておき

[YaSuYuKi]

人名に「'; DROP TABLE USER --」と名付けるというジョークを思い出した＞名前 <script>alert(0)</script>

[knjname]

デバイス名や識別子もいわばユーザ入力だよねという話

[rteeeeee]

「意外なところに隠れているユーザー入力値」

[mikage014]

“最近は JavaScript で HTML を構築することが多く、手動でエスケープするような暗黒時代に戻ってしまっている感があります”

[S0R5]

こんなところで

[umai_bow]

“最近は JavaScript で HTML を構築することが多く、手動でエスケープするような暗黒時代に戻ってしまっている感があります。”

[habarhaba]

あかんこれ

[terazzo]

円環的歴史観も已む無し＞手動でエスケープするような暗黒時代

[asyst]

なるほど

[koyancya]

よく見つけるなぁ

[dowhile]

UAのサニタイズし忘れ