Webセキュリティ(1)-Script Insertion

Webのセキュリティをまとめていこうと思います。

サーバサイドは勉強のためにPHPを使用しました。Javaでしか開発経験ないので。。。
1つ目はScript Insertionです。

【概要】
いわゆるフォームにJavaScriptを埋め込んで、リダイレクトやCookie情報をとる

【攻撃】
以下のJavaScriptを掲示板等の入力フォームに書きこむ

例(JavaScript):
localtion.href="http://xxx" mce_href="http://xxx"         ;

【防御】
HTMLサニタイズ(無害化)する

例(PHP):
echo htmlspecialchars($row['name'],ENT_QUOTES);

About this entry

You’re currently reading “Webセキュリティ(1)-Script Insertion,” an entry on Tech * Note

Published:
04.15.07 / 12am
Category:
セキュリティ, PHP

Categories


Monthly Archives