なぜ XSS がいけないのか
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
XSSとセキュリティリスク - ぼくはまちちゃん!
php |
echo "
ようこそ! ".$_GET['id']."さん!!
";開発側から言うと、文字参照に変換しないで HTML に出力するのは単純に間違っているからですね。文字参照に変換しないコーディングはプラックティスとしてもよくないですし。XSS の CERT Advisory が出たのは前世紀ですし、そろそろみんな正しくコーディングしましょうと。少なくともデフォルトで文字参照に変換しましょうと。
ユーザ側からは、信頼してないサイトに XSS があっても確かに影響は少ないですね。もともと信頼してないわけですし。また、信頼しているサイトに XSS が 1つでもあれば、信頼が減るでしょうね。
初心者の人が練習で Webサイトを公開する場合、サイトに「当サイトでは、セキュリティ対策が正しくなされていない可能性があります」ような告知があればいいのかな?どうなんでしょう?
参考文献
PHP 逆引きレシピ (PROGRAMMER'S RECiPE)
- 作者: 鈴木憲治,安藤建一,山田直明,八木照朗,山本義之,河合勝彦
- 出版社/メーカー: 翔泳社
- 発売日: 2009/06/30
- メディア: 単行本(ソフトカバー)
- 購入: 42人 クリック: 291回
- この商品を含むブログ (33件) を見る
- 作者: GIJOE
- 出版社/メーカー: ソシム
- 発売日: 2005/11/01
- メディア: 単行本
- 購入: 32人 クリック: 340回
- この商品を含むブログ (82件) を見る
- 作者: Chris Shiflett,桑村潤,廣川類
- 出版社/メーカー: オライリージャパン
- 発売日: 2006/05/01
- メディア: 単行本
- 購入: 7人 クリック: 96回
- この商品を含むブログ (19件) を見る
Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?
- 作者: 大垣靖男
- 出版社/メーカー: 技術評論社
- 発売日: 2006/03/16
- メディア: 単行本
- 購入: 6人 クリック: 54回
- この商品を含むブログ (19件) を見る