[B! php][xss] yuyamaguのブックマーク

2ちゃんねるにXSS脆弱性が見つかる、投稿に任意の文字列を埋め込み可能に | スラド IT

今回の 2ch の XSS については、2chのサーバが外部のサービス経由のデータをHTMLに組み入れる際に、Shift_JIS において文字として完結していない半端バイトと、HTMLタグの属性値のダブルクォート (") が結合して Shift_JIS の2バイト文字としてブラウザが扱うことにより、属性値の終了を意味するダブルクォート (") が消失してしまい、メールアドレスとして入力した不正な JavaScript コードが実行されてしまうというものです。 5日前にもコメント [srad.jp] しましたが、詳しくは、文字コードの脆弱性はこの3年間でどの程度対策されたか? [slideshare.net] を読んでいただけると、原因と対策が分かりやすいです。マルチバイトXSSに関しては、プラットフォーム側での対策は進んでいますが、ユーザー（解説本の著者を含む）の理解が不十分です。大きな

yuyamagu 2015/03/04

リンク

ITトレメ「PHP技術者認定・上級」の42問目について : iwamotのブログ

2014年09月03日00:55 カテゴリPHP 技術者認定 ITトレメ「PHP 技術者認定・上級」の42問目について ITトレメ「PHP 技術者認定・上級」の42問目は「JavaScriptインジェクションが可能となるスクリプトとして、正しいものを1つ次の記述の中から選択せよ」という問題だ。正しい答は： <?php $v = strip_tags($_GET['param'], '<a>'); var_dump($v); ?> とされている。しかし： <?php $v = filter_var($_GET['param'], FILTER_VALIDATE_EM AIL); var_dump($v); ?> も「JavaScriptインジェクションが可能」ではないだろうか。たとえば Does PHP's FILTER_VALIDATE_EM AIL provide adequate secur

yuyamagu 2014/09/03

php
xss

リンク

第11回　スクリプトインジェクションを防ぐ10のTips | gihyo.jp

前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“⁠UTF-8⁠”を指定することをお勧めします。サイトによってはSJIS、EUC-JP

yuyamagu 2007/12/18

リンク

Pixy – New & Free Open-source XSS and SQL Injection Scanner for PHP Programs

yuyamagu 2007/08/28

リンク

T.Teradaの日記 - [セキュリティ][PHP]htmlspecialcharsと不正な文字の話

PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本こんな感じで使います。 <?php echo htmlspecialchars($string, ENT_QUOTES, "UTF-8"); ?> 関数の引数は３つあります。引数省略概要第一引数不可エスケープ対象の文字列第二引数可クォート文字の扱い（後述）第三引数可文字コード（後述）第二引数は、以下の3つの値のいずれかを指定可能です。値エスケープ対象文字 ENT_NOQUOTES< > & ENT_COMPAT< > & " ENT_QUOTES< > & " ' 第二引数を指定しない場合のデフォルトは、ENT_

yuyamagu 2007/04/18

リンク

はてなブックマーク

タグ

関連タグで絞り込む (4)

phpとxssに関するyuyamaguのブックマーク (5)

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第2週）

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

タグ

関連タグで絞り込む (4)

phpとxssに関するyuyamaguのブックマーク (5)

2ちゃんねるにXSS脆弱性が見つかる、投稿に任意の文字列を埋め込み可能に | スラド IT

ITトレメ「PHP技術者認定・上級」の42問目について : iwamotのブログ

第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp

Pixy – New & Free Open-source XSS and SQL Injection Scanner for PHP Programs

T.Teradaの日記 - [セキュリティ][PHP]htmlspecialcharsと不正な文字の話

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第2週）

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

第11回　スクリプトインジェクションを防ぐ10のTips | gihyo.jp