Q&A
ご回答頂きまして、ありがとうございます。
混乱してしまっていたのですが、「</script>」が登場した時点で他の「<div>」などとは違いスクリプトが終了してしまうといった訳だったのですね。
ockeghemさんのご回答とともに参考にさせて頂いたのですが、分からなかった箇所が解明でき、助かりました
体系的に学ぶwebアプリケーション第2版の「4.3.2」章「クロスサイトスクリプティング(発展編)」を読み、勉強していたのですが、分からない部分があった為、質問させて貰いました。
分からなかった箇所は、script要素内のjavascriptの一部を動的生成する場合のXSS脆弱性についての部分です。
script要素内はタグや文字参照を解釈しないので、HTMLとしてのエスケープは必要なく、JavaScriptの文字列リテラルとしてのエスケープを行うが、それだけでは不十分だとの説明がありました。
以下は本に記載されていた、PHPから指定した文字列とその文字数を表示するスクリプトです。
php
1<?php 2session_start(); 3function escape_js($s) { 4 return mb_ereg_replace('([\\\'"])','\\1',$s); 5} 6?> 7<body> 8 <div id="name"></div> 9 <script> 10 var div = document.getElementById('name'); 11 var txt = '<?php echo escape_js($_GET['name']); ?>'; 12 div.textContent = txt + 'の文字数は' + txt.length + '文字です'; 13 </script> 14</body>
このスクリプトはうまくいくように見えるが入力中に「</script>」が含まれている場合、そこでJavascriptのソースの終端となるとの説明が記載されていました。しかし、次のページに、「HTML5の規格では、script要素内のデータには
「</script」という文字の並びは出現できないことになっている」とも書かれていました。
ここで、混乱してしまったのですが、「HTML5の規格では、script要素内のデータには「</script」という文字の並びは出現できないことになっている」としたら、「入力中に「</script>」が含まれている場合」も問題がないのではないかと思ってしまいました。また、「script要素内はタグを解釈しない」のであれば、そもそも「</script>」が解釈されないのではないのでしょうか...?
こちらの部分について、少し混乱してしまい分からなくなってしまった為、ご説明頂けましたら幸いです。
よろしくお願いします。
回答2件
0
ベストアンサー
以下の箇所ですが…
ここで、混乱してしまったのですが、「HTML5の規格では、script要素内のデータには「</script」という文字の並びは出現できないことになっている」としたら、「入力中に「</script>」が含まれている場合」も問題がないのではないかと思ってしまいました。
元々のscript要素が以下のようになっているとします。ZZZが外部入力です。
HTML
1<script>XXXXXXXXXX ZZZZZZZ XXXXXXXXXXX</script>
この ZZZZZZZ に </script><script>alert(1)// を設定すると、上記は以下のようになります。
HTML
1<script>XXXXXXXXXX </script><script>alert(1)// XXXXXXXXXXX</script>
前半の XXX... は途中でちぎれていて構文エラーになりますが、その場合でも2番目のscriptは実行されます…というのが攻撃の流れです。
ここで、「script要素内のデータには「</script」という文字の並びは出現できないことになっている」ですが、これはあくまで文法上の約束なので、
- script要素内のデータには「</script」という文字の並びは出現しないことが保証されている
ではなく
- script要素内のデータには「</script」という文字の並びは出現しないようにプログラマが責任を持たなければならない
ということです。サンプルの脆弱なスクリプトはこの処理が入っていないことが脆弱性の原因です。
すみません。確認の為、追加でお聞きしたい箇所があるのですが、<script>要素内ではタグは解釈されないが、特別に</script>は認識されてしまうため、</script>が出現しないようにプログラマが気をつけなければならないといった理解で合っていますでしょうか...?
また、</script>がタグとして解釈されてしまうのは、javascriptの仕様なのでしょうか?
違います。
「タグが解釈されない」というのは、< などが文字実体参照とてではなく、文字通りに扱われるという意味です。あるいは、<BR>という改行タグがあっても、改行という意味ではなく「<BR>」という文字列として扱われるという意味です。
そもそもの問題として、<script>要素は、</script>までで終わるわけです。これは正常な場合でもそうですよね。なので、ブラウザは、<script>要素が始まったら、</script>という文字列を探し、これらのタグに囲まれた範囲をJavaScriptの処理系に渡すわけです。タグの解釈をしないというのは、前述のように<BR>を改行と解釈しない等のことであって、</script>でscriptタグの終わりであることは識別しないことには、どこまでがscript要素かわからなくなります。
投稿2019/09/28 14:04
編集2019/09/29 00:42
総合スコア11705
0
(1)
var a = '</div>';
alert('aは「' + a + '」です');
(2)
var a = '</html>';
alert('aは「' + a + '」です');
上記(1)の場合も(2)の場合も</div>や</html>がタグとして認識されることはありません。
ただの文字列です。
(</html>って書いてあるからってここでhtmlが終わりになるわけではありません)
ただし!
var a = '</script>';
alert('aは「' + a + '」です');
この場合はタグとして認識され、「</script>」が登場した時点でscriptは閉じられてしまいます。
chromeの検証などで確認してみてください。var a = '</script>'; の
</script>の部分の色が変わりタグとして認識されていることがわかります。
その結果、想定しない挙動になる可能性がありますので下記のようにエスケープする必要があります。
var a = '</script>';
投稿2019/09/28 18:48
総合スコア508
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/09/29 00:34 編集
2019/09/29 00:42
2019/09/29 01:00