人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ユーザー登録/認証型ページで、ユーザー入力によるIMGタグで外部サーバーの画像を参照された場合のXSSセキュリティーホールがあれば教えて下さい。

例)
・www.domain.com/user/でユーザーがユーザー登録し、
ユーザーホームページを開設
・ユーザー認証にはクッキー&セッションを使用
・ユーザーがIMGタグで外部ドメインを指定
<img src="http://www.other.com/sample.jpg">

上の例の場合、指定された画像によってセキュリティーをつつく(偽装画像によりクッキーやセッションを悪用するなど)ことは可能でしょうか?

よろしくお願い致します。

●質問者: k2017
●カテゴリ:ウェブ制作
✍キーワード:USER WWW XSS クッキー サーバー
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● tadashi0805
●20ポイント

IMGタグでもAタグでも、自サーバ以外の制御できないところにURLを向けて、それを自動的に展開される(Aタグだとクリックする操作はいりますが)内容だと、展開される中身次第で、つつくことは可能ですね。

特に画像は、ブラウザが知っている拡張子なら、自動的に読み込んで展開してしまいますので、一番危険性が高いと思います。

◎質問者からの返答

ありがとうございます。


2 ● ton-boo
●50ポイント

外部から送り込んだスクリプトを、標的サイト(ここではwww.domain.com ――実在するドメインなので例としては不適切ですが)のものと見せかけてブラウザ上で実行させるのがXSSですから、画像のようにスクリプトを含まないものは原則としてXSSに関係ありません。

が、いくつか補足しておきます。

・画像そのものがXSS脆弱性と関係なくても、IMGタグは関係大ありです。結局、ユーザがそのIMGタグ(もしくは画像URL)を入力する部分ではそれなりのXSS対策が必要となります。

・偽装画像によって何らかの悪さをされる可能性はあります。実際、過去にはJPEGやPNGの表示処理の脆弱性が問題になったこともありました。これはクライアント側の脆弱性の話であってXSSとは関係ありません(深く考えてませんが合わせ技はあるかも)が、質問に「偽装画像」とありましたので念のため補足しておきます。

・外部サーバ側でCGIのような形で処理が動くことはあります。トラッキングクッキーなどを送り込んでくることもあるでしょう。が、これは通常の動作であって、当然XSSとは関係ありません。クッキーの盗用やセッションハイジャックには繋がらないはず。

以上、こんな回答で参考になるでしょうか。

◎質問者からの返答

質問文が適当でない箇所があったかも知れませんね。参考になりました。ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ