質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Q&A

解決済

2回答

3060閲覧

script要素におけるXSSについて

aae_11

総合スコア178

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

0グッド

2クリップ

投稿2019/09/28 13:49

編集2019/09/28 13:52

体系的に学ぶwebアプリケーション第2版の「4.3.2」章「クロスサイトスクリプティング(発展編)」を読み、勉強していたのですが、分からない部分があった為、質問させて貰いました。
分からなかった箇所は、script要素内のjavascriptの一部を動的生成する場合のXSS脆弱性についての部分です。
script要素内はタグや文字参照を解釈しないので、HTMLとしてのエスケープは必要なく、JavaScriptの文字列リテラルとしてのエスケープを行うが、それだけでは不十分だとの説明がありました。
以下は本に記載されていた、PHPから指定した文字列とその文字数を表示するスクリプトです。

php

1<?php 2session_start(); 3function escape_js($s) { 4 return mb_ereg_replace('([\\\'"])','\\1',$s); 5} 6?> 7<body> 8 <div id="name"></div> 9 <script> 10 var div = document.getElementById('name'); 11 var txt = '<?php echo escape_js($_GET['name']); ?>'; 12 div.textContent = txt + 'の文字数は' + txt.length + '文字です'; 13 </script> 14</body>

このスクリプトはうまくいくように見えるが入力中に「</script>」が含まれている場合、そこでJavascriptのソースの終端となるとの説明が記載されていました。しかし、次のページに、「HTML5の規格では、script要素内のデータには
「</script」という文字の並びは出現できないことになっている」とも書かれていました。
ここで、混乱してしまったのですが、「HTML5の規格では、script要素内のデータには「</script」という文字の並びは出現できないことになっている」としたら、「入力中に「</script>」が含まれている場合」も問題がないのではないかと思ってしまいました。また、「script要素内はタグを解釈しない」のであれば、そもそも「</script>」が解釈されないのではないのでしょうか...?
こちらの部分について、少し混乱してしまい分からなくなってしまった為、ご説明頂けましたら幸いです。
よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

以下の箇所ですが…

ここで、混乱してしまったのですが、「HTML5の規格では、script要素内のデータには「</script」という文字の並びは出現できないことになっている」としたら、「入力中に「</script>」が含まれている場合」も問題がないのではないかと思ってしまいました。

元々のscript要素が以下のようになっているとします。ZZZが外部入力です。

HTML

1<script>XXXXXXXXXX ZZZZZZZ XXXXXXXXXXX</script>

この ZZZZZZZ に </script><script>alert(1)// を設定すると、上記は以下のようになります。

HTML

1<script>XXXXXXXXXX </script><script>alert(1)// XXXXXXXXXXX</script>

前半の XXX... は途中でちぎれていて構文エラーになりますが、その場合でも2番目のscriptは実行されます…というのが攻撃の流れです。

ここで、「script要素内のデータには「</script」という文字の並びは出現できないことになっている」ですが、これはあくまで文法上の約束なので、

  • script要素内のデータには「</script」という文字の並びは出現しないことが保証されている

ではなく

  • script要素内のデータには「</script」という文字の並びは出現しないようにプログラマが責任を持たなければならない

ということです。サンプルの脆弱なスクリプトはこの処理が入っていないことが脆弱性の原因です。


すみません。確認の為、追加でお聞きしたい箇所があるのですが、<script>要素内ではタグは解釈されないが、特別に</script>は認識されてしまうため、</script>が出現しないようにプログラマが気をつけなければならないといった理解で合っていますでしょうか...?

また、</script>がタグとして解釈されてしまうのは、javascriptの仕様なのでしょうか?

違います。
「タグが解釈されない」というのは、< などが文字実体参照とてではなく、文字通りに扱われるという意味です。あるいは、<BR>という改行タグがあっても、改行という意味ではなく「<BR>」という文字列として扱われるという意味です。
そもそもの問題として、<script>要素は、</script>までで終わるわけです。これは正常な場合でもそうですよね。なので、ブラウザは、<script>要素が始まったら、</script>という文字列を探し、これらのタグに囲まれた範囲をJavaScriptの処理系に渡すわけです。タグの解釈をしないというのは、前述のように<BR>を改行と解釈しない等のことであって、</script>でscriptタグの終わりであることは識別しないことには、どこまでがscript要素かわからなくなります。

投稿2019/09/28 14:04

編集2019/09/29 00:42
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

aae_11

2019/09/29 00:34 編集

ご丁寧にご回答頂きましてありがとうございます。 分からなかった点が、解明でき、助かりました。 すみません。確認の為、追加でお聞きしたい箇所があるのですが、<script>要素内ではタグは解釈されないが、特別に</script>は認識されてしまうため、</script>が出現しないようにプログラマが気をつけなければならないといった理解で合っていますでしょうか...? また、</script>がタグとして解釈されてしまうのは、javascriptの仕様なのでしょうか? お手数ですが、ご返信頂けましたら幸いです...
ockeghem

2019/09/29 00:42

本文の方に追記しましたので御覧ください
aae_11

2019/09/29 01:00

追記頂きありがとうございます。 ご丁寧にご説明くださり、理解することができました。
guest

0

(1)
var a = '</div>';
alert('aは「' + a + '」です');

(2)
var a = '</html>';
alert('aは「' + a + '」です');

上記(1)の場合も(2)の場合も</div></html>がタグとして認識されることはありません。
ただの文字列です。
(</html>って書いてあるからってここでhtmlが終わりになるわけではありません)

ただし!

var a = '</script>';
alert('aは「' + a + '」です');

この場合はタグとして認識され、「</script>」が登場した時点でscriptは閉じられてしまいます。
chromeの検証などで確認してみてください。var a = '</script>'; の
</script>の部分の色が変わりタグとして認識されていることがわかります。

その結果、想定しない挙動になる可能性がありますので下記のようにエスケープする必要があります。
var a = '</script>';

投稿2019/09/28 18:48

shun-K

総合スコア508

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

aae_11

2019/09/29 01:08 編集

ご回答頂きまして、ありがとうございます。 混乱してしまっていたのですが、「</script>」が登場した時点で他の「<div>」などとは違いスクリプトが終了してしまうといった訳だったのですね。 ockeghemさんのご回答とともに参考にさせて頂いたのですが、分からなかった箇所が解明でき、助かりました
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問