質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

Q&A

解決済

2回答

2652閲覧

javascriptでの値設定時にサニタイズが必要か?

momo1234567890

総合スコア2

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

0グッド

2クリップ

投稿2021/12/20 08:57

XSSの対策として、サニタイズの要不要について調査しております。

下記のようなコードの場合、サニタイズが必要でしょうか?
urlに<script>alert(1);</script>が含まれていたとしても、hogeのvalueに入れているため、サニタイズは不要に思っています。
htmlを確認してもvalueに設定されているため、サニタイズは不要に思えています。
※innerhtmlなどで書き換える場合はサニタイズが必要だと思っています。

//html

<form> <input type=“hidden” name=“hoge” > </form>

//javascript
//初期表示
var url = 〜ここに悪意のあるスクリプトが混入される可能性がある〜(Ajaxで値を取得)
document.fotm.hoge.value = url;

XSSについては勉強中なのですが、答えが導き出せないでおります。
要不要の理由も含めて、ご教示いただけますと幸いです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

JavaScriptによりvalueプロパティに代入しているのであれば、XSSにはならないですね。単に、input要素に「a” onmouseover=alert(1)”」と表示されるだけです。
脆弱性診断としては、かなり質の低いものであるように思えます。

投稿2021/12/20 14:30

ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

momo1234567890

2021/12/20 23:44 編集

誠にありがとうございます。 情報が開示されず再現方法もわからない状態で困っておりました。 これを機に、より一層勉強に努めたいと思います。 大変ありがとうございました。
guest

0

質問の意図がわかりかねますがvalue値(プロパティ)を書き換えても
とくにセキュリティの問題は無いと思います
(むしろサニタイズのしようが無いように思えます)

投稿2021/12/20 09:08

yambejp

総合スコア116724

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

momo1234567890

2021/12/20 09:23

御回答ありがとうございます。 意図が不明瞭で申し訳ありません。 脆弱性診断で、上記のように、valueに直接値を設定している箇所がXSSの恐れがあるとされました。 調査をすべく、urlにスクリプトが混入する様にして実行しましたが、実行は不可能のように思えてならず、質問させていただきました。 (脆弱性診断については、疑わしい判定も出ることがあるとの情報もあり、真偽について調査を行なっておりました) 理解としましては、value値に設定される値にスクリプトが設定されたとしても、そこはスクリプトとして実行されないとの認識で良いのでしょうか? 今回jspを使用しているのですが、そこで、valueを設定する場合、html自体を生成することになるので、サニタイズが必要という認識であっていますでしょうか? 拙い質問で申し訳ありませんが、今一度御回答いただけますと幸いです。
ockeghem

2021/12/20 09:25

診断報告書には脆弱性の再現手順は書かれていないのでしょうか?
momo1234567890

2021/12/20 09:43 編集

hogeに以下値を入れると反映されるとの情報があるのみとなります。 a” onmouseover=alert(1)” 少し怪しい脆弱性診断との情報もあり、理由が明確に説明出来れば、対応不要となり得るものになります。 今回、JSP上でvalueを設定しておらず、JavaScript上から値を設定しています。 御回答いただいた通り、value値(プロパティ)を書き換える方法では、スクリプトの実行は不可であるなら、指摘の回答として上記理由のため「問題なし」と回答と出来ると考えています。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問