用語「s-test文字列」について
s-test文字列 (えすてすともじれつ)
Web アプリケーションにクロスサイトスクリプティング脆弱性がないかテストする際に使用される、テスト用の文字列を指します。以下のような文字列です。
"><s>test</s>
別に <s> でなくても良いのですが、短くて手頃なので <s> が使われることが多いようです。特に呼び名はないのですが、私はこれを勝手に「s-test文字列」あるいは「s-test」と呼んでいます。この呼び名は一般的ではないので注意してください。
検索フォームなどに s-test を入力してみると、クロスサイトスクリプティング脆弱性の有無がある程度判断できます。
- test という文字列に打ち消し線がついて表示される場合 …… 入力を全くサニタイズしないで出力している可能性があります。危険です。
- 打ち消し線は表示されないが、"><s> などの一部が欠ける場合 …… 入力に対して何らかの処理は行われていますが、処理が適切でないか、処理のルーチンにバグがある可能性があります。危険性を否定できません。
- 「"><s>test</s>」と表示される …… サニタイズされています。おそらく問題ありません。
「s-test文字列」に関連する用語
- 「s-test文字列」にコメントを書く
