Q&A
html本文の話ですか?アンカータグのhrefの話ですか?
最近webセキュリティの勉強をはじめた初学者です。
htmlの特殊文字のエスケープの記事や本を読むと、「<」や「&」をエスケープしましょうとあるのですが、「<」をエスケープしない時のxssの攻撃事例はあるのですが、「&」のケースがありません。
&をエスケープしない時に、考えられるXSSの攻撃方法は、どんなものがありますか?
すみません、両方の場合、どんな手法がありますか?
hrefの場合だと、パラメータを区切るときの&を悪用したケースですか?
htmlの場合だと、わかりません。
回答3件
0
ベストアンサー
攻撃ができる・できない以前の話として、表示が意図したものである必要があります。&をエスケープしないと、ユーザが「>」と入力した場合に、「>」と表示されます。正しくは「>」と表示されるべきですので、そうなるためには&をエスケープする必要があります。
投稿2021/07/01 12:17
総合スコア11705
XSS攻撃を防ぐという文脈で、「&をエスケープしましょう」は、どういった攻撃を防ぐためでしょうか?
入力者が、「&」を表示したいためではなく、あるXSS攻撃を実行したいために、「&のエスケープ漏れ」を利用するとすれば、どんな攻撃が考えられるのでしょうか?
一般的な状況では、&のエスケープが漏れていてもXSS攻撃はできないと思います。
なるほど、特殊な状況でないと、「&のエスケープ漏れ」に起因するXSS攻撃はないとのことですね。
その「特殊な状況」は、どんな状況か気になりますが、もっと勉強します。
ありがとうございました。
0
&を&にするのは攻撃を防ぐ目的じゃ無いです。
そうしない場合、ブラウザ画面に<という文字列を表示したいときに困ってしまいます。
<と書くとブラウザ画面では<になってしまいますよね。
「これは&という文字を表示したいのであって、<という文字を表示するための<という文字参照の一部じゃ無い」
ということを表すために&にします。
つまり、ブラウザ画面に<と表示したい場合に、&lt;と書きます。
投稿2021/07/01 12:20
総合スコア85901
0
申し訳ございません。
削除致します。
投稿2021/07/01 13:24
編集2021/07/01 13:50
総合スコア907
あなたの回答
tips
プレビュー
