スキップしてメイン コンテンツに移動

クロスサイトスクリプティング対策とかいろいろチェック

基本は出力時のエスケープ


外部から取得した値は、出力時に必ずエスケープする。


<?=htmlspecialchars(外部から取得した値, ENT_QUOTES)?>


外部から取得できる値
  • ポストされた値
  • URIのパラメタ値
  • アップロードされたファイルの内容
  • データベースから取得した値


しかし、URIを指定できる場所へエスケープして出力しても、「javascript:」で始まる文字列はエスケープされないため意味がない。

<?php
// この変数 $var へ代入する値が、$_POST や $_GET
$var = 'javascript:window.alert("XSS成功")';
?>
<a href="<?=htmlspecialchars($var, ENT_QUOTES)?>">リンク</a>

このような場所へは、外部からの取得値を出力してはならない。



また、エスケープが意味をなさない次の場所へは、外部からの取得値を出力してはならない。

<style>ここ</style>
<script>ここ</script>



不正なマルチバイト文字対策

外部入力値に不正な文字コード(EUC-JPなのに1バイトだったなど)が含まれていたり、アップロードしたファイルが壊れていて、正しく文字エンコードを判別できないような場合、意図しない動きになる。特に、日本語のようなマルチバイト文字を使う場合は、必ずチェックする。


mb_check_encoding(外部入力値, 'UTF-8');


mb_check_encoding()は、第一引数で指定したバイトストリームが、第二引数で指定する期待した文字エンコーディングとして有効な場合はtrue、無効な場合はfalseを返すので、無効な文字エンコーディングと判断されたときは、(処理にもよるが)強制終了すればいい。


$var = isset($_GET['param1']) ? $_GET['param1'] : '';
if (!mb_check_encoding($var, 'EUC-JP') {
    die('Invalid Access!');
};



NULLバイト攻撃の対策

まず「NULLバイト」の説明。

エスケープシーケンスで表すと「\0」。

PHPには、このNULLバイト (バイナリ値) が渡された場合でも正しく処理できる関数 (バイナリセーフな関数) と、NULLバイトが渡されると、NULLバイトを文字列の終端と判断してしまう関数 (バイナリセーフでない関数) が存在する。




文字エンコードは正しく

header()でcontent-type を送信するか、php.ini の default_charset を指定する。
表示するページのエンコードも、上で送信する文字エンコードに合わせる。

php.iniで次のよに設定されていれば何も意識しなくてよい。
default_mimetype = "text/html"
default_charset  = "UTF-8"

このように設定されていれば、header()で次のように送信しなくても自動で送信される。
header('Content-Type: text/html; charset=UTF-8');

仮に、php.iniで default_charset が空の場合、Content-Typeヘッダ で charsetオプションパラメタ は送信されない。
・php.ini
default_mimetype = "text/html"
default_charset  =

・送信されるヘッダ
Content-Type: text/html

送信されるヘッダにcharsetがないからといって、charasetだけ送信すると、今度はmimetypeが送信されない。Content-Typeヘッダを送信するときは、mimetypeもcharsetも
header('Content-Type: charset="UTF-8"');            //  これはNG
header('Content-Type: text/html; charset="UTF-8"'); //  mimetypeとcharsetはセットで送信

結論
php.iniで正しく設定するか、毎回 header()でContent-Typeを送信する。




session_get_cookie_params()

第4引数の意味:
× HTTPSのときだけ、サーバーからブラウザへセッションクッキーが送信される。
○ サーバーからブラウザへは常にセッションクッキーを送信するが、HTTPSのときだけ、ブラウザからサーバーへセッションクッキーが送信される。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

Chatの「メッセージは投稿者によって削除されました」を非表示にする方法

Chrome拡張機能を自作してやってみよう! ♪できるかな できるかな ・・・ 無理ぽ (´・ω・`) iframeの中に、実際のメッセージのやり取りが表示されるので、 $(function(){ $('iframe[name^="spareFrame"]').contents().find('[data-is-tombstoned="true"]').hide(); }); って書いたけど An iframe which has both allow-scripts and allow-same-origin for its sandbox attribute can escape its sandboxing. って言われてダメだったよ・・・
コメントを投稿
おかわり >>

cron で実行されたコマンドから出力されたメッセージをメールで送信する方法

本題に入る前に、まずは、sh/bash系のシェルで標準出力と標準エラー出力をリダイレクトする方法から。 現在使用中のシェルを確認するには、 # echo $SHELL とすれば確認できる。 その他、利用できるシェルを確認するには # cat /etc/shells とする。 ■リダイレクトについて commandコマンドが出力を伴うコマンドの場合、commandコマンドの出力をresult.txtへ出力するには # command > result.txt コマンドの実効結果を別のコマンドの入力値とする場合は、|(パイプ)でつなげる。 # command1 | command2 ■標準出力と標準エラー出力について ・標準出力 正常結果やコマンド実行途中に出力されるメッセージの出力先。 ・標準エラー出力 異常終了時のメッセージやエラーメッセージなど、ユーザーに気づいてほしいメッセージの出力先。 ■標準出力と標準エラー出力の両方をリダイレクトする 先のcommandコマンドのリダイレクト例のうち、result.txtへのリダイレクトは、標準出力をリダイレクトしている。そのため、標準エラー出力はリダイレクトされず、仮にcommandコマンドが標準エラー出力へメッセージを出力した場合は、result.txtではなくコンソールへ出力(表示)される。 標準出力と標準エラー出力の両方をリダイレクトして、result.txtへ出力するには、 # command > result.txt 2>&1 とする。 なお、上の例を省略なしで記述すると # command 1> result.txt 2>&1 となる。 この「1」「2」の番号について。 ・1:標準出力。通常はコンソール画面。 ・2:標準エラー出力。通常はコンソール画面。 となっている。 ちなみに、「0」は「標準入力」。通常はキーボードからの入力。 例:標準エラー出力を error.log へ出力する。標準出力はコンソールへ表示する。 # command 2> error.log 例:標準出力は result.log 、標準エラー出力は error.log へ...
コメントを投稿
おかわり >>

cron で bash を使うまでのお話

おー、ほぼ一年ぶりの更新だ・・・ 普段、何気に設定していた cron なんですが、 「PATHは通っていないから、フルパス書いて」 「#!/bin/bash はお呪い」 っていう程度の認識しかなかった。 ので、一からお勉強。 まず、cron の シェル等を確認するには、cron実行ユーザーで [root@localhost ~]# crontab -e * * * * * printenv >/var/tmp/env.txt ってやって1分待つ。 で、1分後に出来上がったファイルの中身を見てみる [root@localhost ~]# cat /var/tmp/env.txt ... SHELL=/bin/sh USER=root PATH=/usr/bin:/bin PWD=/root LANG=ja_JP.UTF-8 SHLVL=1 HOME=/root LOGNAME=root XDG_RUNTIME_DIR=/run/user/0 ... あー、shだ。 どおりで、/bin/bash って書かないと、動かない記述があるわけだ。
コメントを投稿
おかわり >>