作者: dune
日時: 2002/7/13(20:33)
極悪です。

最近 wiki cgi のクロスサイトスクリプティング(XSS)脆弱性を
チェックされるのが流行ってるみたいです(office さんという方
がチェックして回ってます。http://www.office.ac/)。僕のとこ
ろもチェックが入って、XSS 脆弱性があるから直すように、という
メールをもらいまいした。

wiki も広義には掲示板の一種であって、wiki だけが脆弱というわ
けではないですが、その性格上 XSS 対策漏れが生じやすい cgi で
す。

僕の場合、本文は < や > をエスケープしてますが、ページ名(Wi
kiName)はエスケープしてなかったので、CGI の引数を直打ちされ
ると "><script>alert("hello")</script> といった、HTML 的に意
味のある文字列をまんま出力してしまいます。

原則、掲示板なら本文やメールアドレス欄、名前欄など、外部から
入ってくるデータは全てエスケープする。他にも検索フォームとか、
hidden 属性で渡そうとしている状態変数、CGI の引数なども画面
に出力する場合はエスケープが必要ですね。HTML の基礎なので、
本文の表示はみんな忘れずにエスケープするものですが、名前欄と
か検索フォームからの入力は忘れやすい個所ではと思います。
ブラウザ情報が顔文字になってたり、挨拶になってたりするものも
あるので、アクセス統計でブラウザとかリファラを出力する cgi 
もヤバイです。

cgi、特に wiki を書いてる人は、チェックされる前に直しましょ
う。

http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html

# TSabc はスクリプト入門、TSfree は関係ない話題でも OK、    
# TShack は TSnet のシステム関連の話題を投稿、という認識で良
# いんでしたっけ。今回はスクリプト(CGI)の入門ということで
# TSabc に投稿してみました。
-- 
FZH01112@..., http://homepage1.nifty.com/dune/