参考

PHP 5.2.12 の文字エンコーディング関連の修正点 - t_komuraの日記
Shift_JISを利用することの是非 - ockeghem(徳丸浩)の日記
徳丸浩の日記 - [php][security][xss] - htmlspecialcharsは不正な文字エンコーディングをどこまでチェックするか
mb_check_encoding() の内部処理 - t_komuraの日記
徳丸浩の日記 - [php][xss] - htmlspecialcharsのShift_JISチェック漏れによるXSS回避策

問題点その1:PHP側で先行バイトの一部(0xF0〜0xFC)のチェックがすり抜ける

徳丸浩の日記 - [php][xss] - htmlspecialcharsのShift_JISチェック漏れによるXSS回避策より引用:

問題が発生する条件

幸いなことに、この問題が発生するためには、色々条件がつきます。それを以下に示します。すべてAND条件です。

1. PHPが内部で扱う文字エンコーディングがShift_JISである


2. 入力から出力までの過程で文字エンコーディングが変換されない


3. 入力値のバリデーションとして文字エンコーディングを検査していない

すなわち、1.と2.を合わせますと、入口・処理・出口まで一貫してShift_JISで扱っている、という条件が攻撃には必須ということになります。

問題点その2:一部ブラウザ側で先行バイトが続く1バイトで1文字と認識される

Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある - t_komuraの日記より引用:

上記のコードで XSS が発生するのは、以下が原因となるようです。

1. PHP の htmlspecialchars() では、SJIS(Shift_JIS) の場合、\xf0 - \xfc を単独で指定しても排除しない(PHP 5.3.0 で確認)


2. 一部のブラウザでは、\xf0 - \xfc に続く1バイトを合わせて Shift_JIS の1文字として認識する(Mozilla Firefox 3.5.3 と Internet Explorer 8(8.0.6001.18813) で確認)


3. このため、上記の例では、\xf0 の後ろにある "(ダブルクォート) が有効にならず、その後ろに任意の属性が追加できる

このため、ブラウザによっては、XSS が可能な場合があります。

対策

• 最新のバージョンを使う。
  • 処理する側での対処も大事だけど、大元をまず修正。
  • 少なくとも、Shift_JISを使う際のmb_check_encodingのバグが解消したPHP5.2.9以降
    • 上記関連メモで、htmlspecialchars()の文字コード指定が一部有効になったPHP 5.2.5以降
• 受け取る文字コード/内部の文字コード/出力する文字コードを手動で変換する
  • 内部の文字コードは、EUC-JPやutf-8を使用する(Shift_JISを使用しない)
    • 受け取る文字コード(Shift_JIS) -> 内部の文字コード(EUC-JPやutf-8) -> 出力する文字コード(Shift_JIS)
  • どうしようもない場合は、文字エンコーディング判定スクリプト - t_komuraの日記で厳しい判定をする