Å‹ßA“¿ŠÛ–{‚ð‚¶‚í‚¶‚í“Ç‚ñ‚Å‚¢‚é‚Ì‚Å‚·‚ªADOM based XSS‚̘b‚ª‘‚¢‚Ä‚ ‚Á‚½‚Ì‚ÅA‚µŒ¾‹y‚µ‚Ä‚¨‚±‚¤‚ÆŽv‚¢‚Ü‚·B
“¿ŠÛ–{‚©‚çˆø—p
DOM based XSS‚ƌĂ΂ê‚éXSS‚ª‚ ‚è‚Ü‚·B‚±‚ê‚ÍAJavaScript‚É‚æ‚èƒNƒ‰ƒCƒAƒ“ƒg‘¤‚Å•\Ž¦ˆ—‚·‚é‰ÓŠ‚ª‚ ‚èA‚»‚±‚ÉÆŽã«‚ª‚ ‚éꇂÌXSS‚Å‚·B
ƒTƒ“ƒvƒ‹‘‚¢‚Ä‚Ý‚Ü‚µ‚½B
<script> document.write(unescape(location.href)); </script>
‚±‚¢‚‚ð“K“–‚ȃtƒ@ƒCƒ‹–¼‚Å•Û‘¶‚µ‚ÄAdomxss.html#<script>alert("hello")<script>‚È‚Ç‚ÌURL‚ŃAƒNƒZƒX‚·‚é‚Æalert‚ª•\Ž¦‚³‚ê‚é‚Í‚¸‚Å‚·B”CˆÓ‚̃XƒNƒŠƒvƒg‚ªŽÀs‰Â”\‚Èó‘Ô‚Á‚Ä‚±‚Æ‚Å‚·‚ËB”CˆÓ‚̃XƒNƒŠƒvƒg‚ªŽÀs‰Â”\‚Á‚Ä‚±‚Æ‚ÍAƒZƒbƒVƒ‡ƒ“ƒNƒbƒL[“‚Ý•ú‘è‚ÅA‘¼l‚ɬ‚èÏ‚Ü‚µ‚Ä”ƒ‚¢•¨‚Å‚«‚¿‚á‚Á‚½‚è‚·‚郌ƒxƒ‹‚Å‚·B
ˆ«‚¢‚Ì‚Ídocument.write()‚âinnerHTML‚¾
—á‚Í‚©‚È‚è‚í‚´‚Ƃ炵‚¢‚Å‚·‚ªAdocument.write()‚âinnerHTML‚Æ‚¢‚Á‚½A•¶Žš‚»‚Ì‚Ü‚Ü‚ð‘‚«o‚·ƒƒ\ƒbƒh‚âƒvƒƒpƒeƒB‚ðŽg‚¤‚ÆA‚»‚±‚ÉDOM based XSS‚ª‰Â”\‚É‚È‚é—]’n‚ª¶‚Ü‚ê‚Ü‚·B
‘Îô‚Æ‚µ‚Ä‚Íhtml‚ðƒGƒXƒP[ƒv‚·‚éA‚¿‚á‚ñ‚Æ‚µ‚½ƒeƒ“ƒvƒŒ[ƒgƒGƒ“ƒWƒ“‚ðŽg‚¤AƒEƒFƒu•W€‚ÌDOM API‚ðŽg‚¤‚È‚Ç‚ª‹“‚°‚ç‚ê‚Ü‚·B
DOM‚ðŽg‚Á‚½‘Îô—á
DOM‚ÌAPI‚Í“K؂ȃGƒXƒP[ƒvˆ—‚ðŽ©“®‚Ås‚Á‚Ä‚‚ê‚邽‚ßAXSS‚Ì‘Îô‚É‚È‚è‚Ü‚·B‚½‚Æ‚¦‚΂³‚Á‚«‚ÌÆŽã‚ȃR[ƒh‚Í‚±‚ñ‚È•—‚É‘‚¯‚ÎOKB
<script>
onload=function(){
document.body.appendChild(document.createTextNode(location.href));
};
</script>
‚µ‚©‚µinnerHTML‚Ì•û‚ªl‹CŽÒH
uDOM vs innerHTMLv‚ŃOƒO‚é‚ÆAƒpƒtƒH[ƒ}ƒ“ƒX‚ð”äŠr‚·‚é‹LŽ–‚ª‚½‚‚³‚ñŒ©‚‚©‚è‚Ü‚·B‚È‚©‚È‚©”äŠr‚·‚é‚͓̂‚¢‚¯‚ê‚ÇA’Pƒ‚È«”\‚ÅŒ¾‚¦‚ÎinnerHTML‚Ì•û‚ª‘¬‚¢ŒXŒü‚É‚ ‚é‚炵‚¢‚Å‚·‚ËB
‚ ‚ÆDOM‚ÌAPI‚Í–Ê“|‚‚³‚¢‚±‚Æ‚ª‘½‚¢‚Å‚·Bdocument.createElement()‚Æ‚©appendChild()‚µ‚Ü‚‚é‚æ‚è‚ÍAinnerHTML‚Å•¶Žš—ñ˜AŒ‹‚µ‚¿‚á‚Á‚½•û‚ªŠy‚©‚à‚µ‚ê‚È‚¢B
‚È‚Ì‚ÅA‘æŽOŽÒ‚Ì“ü—Í‚ðŽó‚¯•t‚¯‚é•”•ª‚¾‚¯‚¿‚á‚ñ‚ÆDOM‚Å‘‚¢‚ÄAŠO•”“ü—Í‚Ì“ü‚èž‚Þ—]’n‚Ì‚È‚¢•”•ª‚¾‚¯innerHTML‚Å‘‚A‚®‚ç‚¢‚ª‚æ‚¢‚ÆŽv‚¢‚Ü‚·B
‚½‚¾AAA‚±‚¤‚¢‚¤innerHTML‚ð‚΂è‚΂èŽg‚Á‚½‹LŽ–‚ªA–¢‚¾‚Él‹C‚ðW‚ß‚é‚Æ‚±‚ë‚ðŒ©‚é‚ÆAuDOM‚Ì‘‚«Š·‚¦‚ÍinnerHTML‚ðŽg‚Á‚Ä‘‚‚à‚Ì‚È‚ñ‚Å‚·‚ËIƒƒ‚ƒƒ‚`™v‚Ý‚½‚¢‚ÈŠ¨ˆá‚¢‚ð‚·‚él‚ª‘½‚»‚¤‚ÅA¡‚Ì󋵂͗ǂ‚È‚¢‹C‚ª‚µ‚Ä‚¢‚Ü‚·B
Œ¾‚¢‚½‚¢‚±‚Æ
- DOM API‚ÆinnerHTML‚Í“™‰¿‚Å‚Í‚È‚¢BƒpƒtƒH[ƒ}ƒ“ƒX‚¾‚¯‚Å”äŠr‚·‚é‚̂̓iƒ“ƒZƒ“ƒXB
- innerHTML‚͊댯‚È‘‚«•û‚Å‚ ‚éB‰½‚Å‚à‚©‚ñ‚Å‚àinnerHTML‚ðŽg‚¤‚Ì‚Í‚â‚ß‚½•û‚ª‚¢‚¢B
- JavaScript‚É‚¾‚Á‚ÄXSS‚ðì‚螂މ”\«‚ª‚ ‚éBDOM based XSS‚Í‚à‚¤‚µŽü’m‚³‚ê‚é‚ׂ«
‚à‚Á‚ÆÚ‚µ‚’m‚肽‚¢l‚Í
DOM based XSS‚Í‚±‚±‚ª‚©‚È‚èÚ‚µ‚¢B‰pŒê‚¾‚¯‚ÇB
DOM based XSS Prevention Cheat Sheet - OWASP
–`“ª‚Ì“¿ŠÛ–{‚Á‚Ä‚Ì‚Í‚±‚ê‚Ì‚±‚Æ‚ËBƒT[ƒo[ƒTƒCƒh‚̘b‚ª‘½‚¢‚¯‚ÇAWeb‰®‚³‚ñ‚Í’m‚Á‚Ä‚¨‚‚ׂ«“à—eB(DOM based XSS‚Íp115‚Ì•Ó‚è)
‘ÌŒn“I‚ÉŠw‚Ô ˆÀ‘S‚ÈWebƒAƒvƒŠƒP[ƒVƒ‡ƒ“‚Ìì‚è•û@ÆŽã«‚ª¶‚Ü‚ê‚錴—‚Æ‘Îô‚ÌŽÀ‘H [‘åŒ^–{] / “¿ŠÛ _ (’˜); ƒ\ƒtƒgƒoƒ“ƒNƒNƒŠƒGƒCƒeƒBƒu (Š§)![‘ÌŒn“I‚ÉŠw‚Ô ˆÀ‘S‚ÈWebƒAƒvƒŠƒP[ƒVƒ‡ƒ“‚Ìì‚è•û@ÆŽã«‚ª¶‚Ü‚ê‚錴—‚Æ‘Îô‚ÌŽÀ‘H [‘åŒ^–{] / “¿ŠÛ _ (’˜); ƒ\ƒtƒgƒoƒ“ƒNƒNƒŠƒGƒCƒeƒBƒu (Š§)](https://images-fe.ssl-images-amazon.com/images/I/41lX6Fg5KpL._SL160_.jpg "‘ÌŒn“I‚ÉŠw‚Ô ˆÀ‘S‚ÈWebƒAƒvƒŠƒP[ƒVƒ‡ƒ“‚Ìì‚è•û@ÆŽã«‚ª¶‚Ü‚ê‚錴—‚Æ‘Îô‚ÌŽÀ‘H [‘åŒ^–{] / “¿ŠÛ _ (’˜); ƒ\ƒtƒgƒoƒ“ƒNƒNƒŠƒGƒCƒeƒBƒu (Š§)")
ƒnƒCƒpƒtƒH[ƒ}ƒ“ƒXJavaScript‚ÉDOM‚ÆinnerHTML‚Ì‘¬“x”äŠr‚Ì‹LŽ–‚ªÚ‚Á‚Ä‚½Bip37 3Í‚Ì‚ ‚½‚èj
ƒnƒCƒpƒtƒH[ƒ}ƒ“ƒXJavaScript [‘åŒ^–{] / Nicholas C. Zakas (’˜); …–ì ‹M–¾ (–|–ó); ƒIƒ‰ƒCƒŠ[ƒWƒƒƒpƒ“ (Š§)![ƒnƒCƒpƒtƒH[ƒ}ƒ“ƒXJavaScript [‘åŒ^–{] / Nicholas C. Zakas (’˜); …–ì ‹M–¾ (–|–ó); ƒIƒ‰ƒCƒŠ[ƒWƒƒƒpƒ“ (Š§)](https://images-fe.ssl-images-amazon.com/images/I/51tXtsUtw0L._SL160_.jpg "ƒnƒCƒpƒtƒH[ƒ}ƒ“ƒXJavaScript [‘åŒ^–{] / Nicholas C. Zakas (’˜); …–ì ‹M–¾ (–|–ó); ƒIƒ‰ƒCƒŠ[ƒWƒƒƒpƒ“ (Š§)")
innerHTML‚ðŽg‚í‚È‚¢DOM‚ÌŽQl}‘BuDOM Scriptingv“I‚È–¼‘O‚Ì–{‚È‚ç‚ ‚Ü‚èƒnƒYƒŒ‚Í‚È‚¢‹C‚ª‚·‚éBŽ„‚Í‚±‚ê‚ŕ׋‚µ‚Ü‚µ‚½‚ªA‘¼‚É‚à‚¢‚¢–{‚ª‚ ‚é‚©‚à‚µ‚ê‚È‚¢B
Web•W€ƒeƒLƒXƒg(1) DOM Scripting (Web•W€ƒeƒLƒXƒgƒVƒŠ[ƒY) [’Ps–{iƒ\ƒtƒgƒJƒo[j] / ŒÃâ× ˆê_ (’˜); ‹Zp•]˜_ŽÐ (Š§)![Web•W€ƒeƒLƒXƒg(1) DOM Scripting (Web•W€ƒeƒLƒXƒgƒVƒŠ[ƒY) [’Ps–{iƒ\ƒtƒgƒJƒo[j] / ŒÃâ× ˆê_ (’˜); ‹Zp•]˜_ŽÐ (Š§)](https://images-fe.ssl-images-amazon.com/images/I/41yyRpwm8yL._SL160_.jpg "Web•W€ƒeƒLƒXƒg(1) DOM Scripting (Web•W€ƒeƒLƒXƒgƒVƒŠ[ƒY) [’Ps–{iƒ\ƒtƒgƒJƒo[j] / ŒÃâ× ˆê_ (’˜); ‹Zp•]˜_ŽÐ (Š§)")
keyword: javascript Security