691. Re: デスクトップCGIでWebとデスクトップを融合する 第1回

On Sun, 04 Jun 2006 08:04:51 +0900
藤岡和夫 <kazuf@...> さんwrote:

> > ・XSS脆弱性がある
> 
> 　XSS脆弱性については、もう少し勉強してみます。実際のところ、攻撃に晒さ
> れる可能性のあるWebサイトに置くCGIについて、何か記事を書くことは大変でしょ
> う。デスクトップに置く場合もセキュリティ上の問題をまったく考える必要がな
> いということはないでしょうが、基本的にはすべて自分の制御下で行われるので
> 問題はないのではと考えています。ただ、人の作ったものをチェックせずに使う
> のは危険でしょう。スクリプトはすべて見えるので、内容が理解できれば安心で
> すね。注意事項として、次回の記事では言及しておこうと思います。

　今回の場合のXSS脆弱性は、$patternにスクリプトを入力すると、単に表示し
ているので、スクリプトが実行されてしまうということですね。

　実体参照エンコードで、入力したスクリプトを動かないようにすることは簡単
ですけど、パラメータは自分で入力して使うことが前提のスクリプトなので、そ
こまですることはないですね。デスクトップCGIと通常のWebサイトで使うCGIと
はセキュリティの観点から違っていることを説明して、Webサイト用のCGIを書く
ときは、XSS脆弱性に注意しましょうということになりますか。

　しかし、パラメータに入れると簡単にJavaScriptが動くことに驚きました。当
然とはいえ(^^;)

　XSS脆弱性について書いてあるCGIの本って推薦するものってありますか。

　CGI.pmをもっと勉強しなくちゃ(^^)HTML::Templateも(^^)

藤岡 和夫
kazuf@...
TS Networkのために http://homepage1.nifty.com/kazuf/