新生鳩丸掲示板♯

ウェブアプリケーションで<>はエスケープしているけど、"は忘れていて、任意の属性が設定可能なのはどの程度危険ですか?

要素によるかもしれませんが、この場合はa要素で、とりあえずonclick属性をつけられるところまでいったのですが。

>任意の属性が設定可能なのはどの程度危険ですか?

XSS脆弱性が存在することを意味しています。src属性やhref属性は当たり前として。onclick属性以外には安直に思いつくのがstyle属性です。これ、ユーザの操作が必要なさそうなので。onload属性やonunload属性も。onouseover属性あたりはonclick属性よりも危険度が高いでしょうか。じゃぁonFOO属性全部禁止する！とか思っても、dynsrc属性やlowsrc属性が待ち構えているかもです。ネスケ4あたりですとsize属性などでもスクリプト起動が出来ていたみたいです。

最近びっくりしたのがOperaなんですが、

<META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

というのです。これ、知らなんだです。従来知られているのは

<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">

あたりでしょうか。url属性にdata:スキームで直書きするテクもあるみたいです。

はてなで先頃話題になったのは、table要素のbackground属性です。

object要素のdata属性でもスクリプトが…

まだまだたくさんありますが、上記ネタ元の

http://ha.ckers.org/xss.html

あたりを見てください。

一番笑ったのがnemespace属性で拡張子.htcなファイルを呼び出すものです。

というわけで、属性の追加が可能だということは、極めて危険だと思います。

><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

Opera 9.0 <http://snapshot.opera.com/windows/w90p1.html>でサポートされるHTTP Link headerというやつですね?スタイルシートをXML文書に結びつける<http://www.doraneko.org/xml/stylesheet10/19990629/Overview.html>に書かれている、"リンク情報をソース文書の中に組み込まないかもしれない"という手法の一つでしょうか。私の記憶では、もう廃案になったような気のせいがしますけれど。

#でもこれ、属性値に<>が含まれているので、invalidなのでは……?

それにしても一日に似たようなXSS脆弱性を二つ見つけるっていうのは、どういう奇遇でしょうか。一つは日本でよく利用されている(らしい)ウェブアプリケーションなのですが、もう一つは国外なので悩ましいところです。もっとも後者にはある意味で普段からお世話になっているし、今後も何度か利用する機会のあるサイトなので、何とかしておきたいところです。

>><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

>#でもこれ、属性値に<>が含まれているので、invalidなのでは……?

HTML4では属性値に<>を含めることができるのでinvalidではありません。XHTMLではできませんが、XHTMLならそもそも要素名や属性名が大文字になったりはしないので上記引用部がXHTMLでないことは明らかですね。

>要素によるかもしれませんが、この場合はa要素で、

a要素というのを見落としていました。すみません。

a要素と言えば思い出したのが以下の文献。御存知の。「via Internet」談義::すみけんリソース

●HTML「いまどきそんなにあやしい本はないよねー」

http://www.asahi-net.or.jp/~jy3k-sm/i_net/books2005.txt

[quote]

MSが属性をこんなにたくさん拡張していると分かる。

たとえばA。なんだよbeginとかendって。

(snip)

ATOMICSELECTION属性なんて聞いたことも無いのだが、

かなり一般的な共通属性になっている。

[/quote]

XSSとは直接関係ないと信じたいですが、まだ良く読んでいません。駄目すぎ＞私。

良く見られる(snip)ってどのようにマークアップすると良いでしょうか？

[quote]

MSが属性をこんなにたくさん拡張していると分かる。たとえばA。なんだよbeginとかendって。

(snip)

ATOMICSELECTION属性なんて聞いたことも無いのだが、かなり一般的な共通属性になっている。

[/quote]

みたいの。前から知りたかったのでこの際、ご教示賜りたく、お願い申し上げます。

国内の方については修正されました。"を置換していないほかに、第三者の用意した任意のHTMLファイルをそのまま表示してしまう脆弱性もあったのですが、同時に修正されたのでよかったです。任意の属性を追加できる海外の方は、"もエスケープするように報告はしておきましたが、まだ修正はされていません。というか、英語が通じているのかちょっと不安です。