ssig33.com
最近みつけた意外な XSS
ほぼ出オチに近いんですが。
これで発動する XSS を実際に見かけました。
- iOS アプリと Web アプリが両方あるアプリである
- Web アプリがわにアカウントにひもづいているデバイスを一覧できる画面や投稿元デバイス名が表示される画面がある
- そこでデバイス名がエスケープされてない
という事例です。一昔前は Rails や CakePHP やらがテンプレートエンジンで普通に HTML を出力すればエスケープしてくれたものですがが、最近は JavaScript で HTML を構築することが多く、手動でエスケープするような暗黒時代に戻ってしまっている感があります。
「たいていのところはちゃんとエスケープしてあるけど、↑のような意外なところが抜けてたりする事例があります。
iOS のデバイス名由来のものについては簡単に調べた結果 3 件ほど XSS を見かけたので、それについては報告はしておきましたが、みなさんも自分のアプリケーションについて調べてみてはいかがでしょうか。
具体的にこの件については攻撃難易度はかなりのものですが、「意外なところに隠れているユーザー入力値」という問題については一通り自分のアプリケーションを調査する必要があると思います。