質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.48%

get送信値に対するXSS対策について

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 3
  • VIEW 5,063

score 13

入力フィールドに値を入れてpost送信を行い送信先でCSVに1行ずる加筆する簡易フォームを作成しました。
こちらのフォームに対してブラウザのXSSフィルタを外し、URLに

http://xxx.com/index.php?"><body/onload=alert(test)>

とするとJSアラートが表示されるためXSS対策を行う必要があります。
get値に関しては特に利用していないので冒頭に

if (!empty($_GET)) {
    foreach ($_GET as $k => $v) {
        $k = $this->xss($k);
        $v = $this->xss($v);
    }
}

if (!empty($_GET["count_push"])) {
// ajaxで本ページにgetパラメータを付与した状態でアクセスした際、テキストファイルに1を付与する処理
}

function xss($str = null){
    return htmlspecialchars($str,ENT_QUOTES, "UTF-8");
}

上記のような処理をいれてみましたが、XSSフィルタ外したブラウザで確認するとalertが動いてしまいました。
どのような処理がを行えば正しくget値に対してXSS対策ができるでしょうか。

ご教授お願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+4

非常に興味深い事例です。"><body/onload=alert(test)>  というクエリ文字列でXSSとなったということのようですが、このクエリ文字列は、

キー: "><body/onload
バリュー: alert(test)>   

と解釈されるからです。onloadとalertの間に = があるためにそうなります。
このような入力でXSSになるパターンは、まったくないわけではなく、URLあるいはクエリ文字列全体を生の形で属性値に保持するような場合ではありえます。

今後の切り分けの方法としては、XSSを再現させた状態でそのHTMLソースを確認して、"><body/onload=alert(test)> の一部あるいは全部がどこかにあるはずなので、それがどの箇所で表示されているかを手がかりに分析するとよいと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/01 12:20

    IEだとパーセントエンコードされません。Edgeはパーセントエンコードされます

    キャンセル

  • 2017/11/01 12:23

    そうなんですね。勉強になります。
    今環境がないんであとで試してみます。
    ありがとうございました!

    キャンセル

  • 2017/11/01 13:04

    今、確認しました。IE、すごいですね。
    無事(?!)アラートが上がりました。

    キャンセル

+3

get値に関しては特に利用していないので

とありますが、本当に利用していないのであればXSSは発生しません(極論、「JavaScriptもPHPもない、単なるHTML」に妙なクエリを付けてもXSSは起きません)。

  • $_REQUESTでGET、POSTをまとめて参照してしまっている
  • JavaScriptでlocationから値を抽出している
  • フレームワーク内で参照して、デバッグ用に値を出力している

など、どこかで使っているはずなので、まずはそれを突き止めるのが先決です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/31 12:39

    一点だけ修正です。
    該当ページに対してとあるgetパラメータがついていたら特定の処理(ただしgetパラメータに格納された値は利用しない)は存在しました。

    if (!empty($_GET["count"]) {
    $this->hoge();
    }

    ご指摘の$_REQUSETもlocationもフレームワークも使用していない状態です。
    それでもURLに冒頭のパラメータを付与するとalertが表示されます。
    こちらを解消したいです。

    キャンセル

  • 2017/10/31 13:00

    とりあえず、部分的にしかソースがないので、「残りの何処かに問題があるのだろう」以上のことはいえません。

    キャンセル

  • 2017/10/31 13:12

    ちなみに、「foreach ($_GET as $k => $v)」で回した場合、$kや$vはコピーなので、どれだけ書き換えても元の$_GETは変化しません。

    キャンセル

+2

php において、もっとも一般的な XSS 対策は HTML 表示の際に表示データを「text/html な内容」に変換することです。 
「何故htmlspecialcharsを通すのか?」を一言でどうぞ

フレームワークを使用していれば、どこかで上記を実施する機構が用意されているので探してみてください。

追記
サンプルスクリプトを追記します

対応版

<script type="text/javascript">
var test = 'hoge'
</script>
<?php
$in = '><body/onload=alert(test)>';
echo htmlspecialchars($in, ENT_QUOTES, 'UTF-8');

非対応版

<script type="text/javascript">
var test = 'hoge'
</script>
<?php
$in = '><body/onload=alert(test)>';
echo $in;

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/31 12:43

    表示データに関して(post送信で受けわたすデータに関して)はxss処理としてxss関数を通すようにはしています。
    フレームワークなどは利用していないプレーンなphpで、入力画面→完了画面(完了画面冒頭でCSVへ書き込む処理)をしているシンプルなもので、
    入力画面に対してgetパラメータに対して冒頭の値を付与してアクセスするとalertが動いてしまう件に関して対応を行いたいんです。

    キャンセル

  • 2017/10/31 13:21

    回答にも書きましたが、HTML 表示する際に「text/html な内容」に変換することが対応策です。

    サンプルスクリプトを回答に追記します。

    キャンセル

+1

提示されている「URL」がフォームに入れた内容ならば、確認するのはGETでなくPOSTです。
「URL」がフォームのURLにパラメータとしてつけたものであれば、ソースを表示してどこ挿入されたか確認してみては。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.48%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る