PEAK XOOPS - Re: anti-XSS system (4) 
Re: anti-XSS system (4)
| Target | News |
| Subject | anti-XSS system (4) |
| Summary | 「大きな傘」(BigUmbrella)XSS対策システムの最終回。考察編です。(3)に示したコードには、議論の余地が2つ残っています。・疑うべきリクエストのパターンがそれで良いのか(3)で示したチェックパターンはこうです。preg_match( '/[<\'"].{15}/s' , $val , $regs )タグの... |
Re: anti-XSS system (4)
msg# 1
- depth:
- 0
Previous post
-
Next post
|
Parent
-
Children.1
|
Posted on 2006/7/13 12:32
tohokuaiki
Posts: 25
Posts: 25
Quote:うーん。外部JavaScriptライブラリをincludeしている場合、潰す箇所がべらぼうに増えますね・・・。
安易にprototype.jsなんかをincludeしてしまうと、このフィルタリングが非常に難しい・・・。たとえば、Ajaxは new Ajax.Request で生成されてしまう・・・。
外部ライブラリ自体の脆弱性ではないけど、それが引き起こす脆弱性が増えそうですね。
便利さと完全にトレードオフです。困ったものです・・。
実際、CSRF対策は
・とりあえずチケット
・後は何とかどっかで引っかかってくれ
という状況で。
とにかく、JavaScriptで最も怖いのは、"XMLHttpRequest"なので、この文字列と、動的にXMLHttpRequestという関数名を生成・実行する"eval"の2つを検出することは最低限必要でしょう。
安易にprototype.jsなんかをincludeしてしまうと、このフィルタリングが非常に難しい・・・。たとえば、Ajaxは new Ajax.Request で生成されてしまう・・・。
外部ライブラリ自体の脆弱性ではないけど、それが引き起こす脆弱性が増えそうですね。
便利さと完全にトレードオフです。困ったものです・・。
実際、CSRF対策は
・とりあえずチケット
・後は何とかどっかで引っかかってくれ
という状況で。
Votes:1
Average:0.00
Posts tree
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 12:32)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/13 17:57)
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 18:47)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/14 15:03)
-
-
-
Login