第20回北海道情報セキュリティ勉強会レポート – 文字コードの脆弱性はこの4年間でどの程度対策されたか?〜後半【徳丸先生】#secpolo こんにちは、夜のマルチバイト、せーのです。今日は先日の第20回北海道情報セキュリティ勉強会レポート前半に引き続き、いよいよ本丸である後編、様々な文字コードによる脆弱性とその対策状況についてご紹介致します。ひとまず休憩明けから、ということで休憩中に振る舞われたケーキをどうぞ。 さて、ではいきましょう。 半端な先行バイトによるXSS マルチバイト文字の1バイト目だけが独立して存在する状態になると次の文字がマルチバイト文字の2バイト目移行の文字として食われる状態になります。攻撃者はダブルクォーテーション(")を食わせてイベントハンドラを注入して攻撃します。 解説 テキストボックスが2つあるformがあります。ソースとしてはこういう感じです。 <?php se