例)
・www.domain.com/user/でユーザーがユーザー登録し、
ユーザーホームページを開設
・ユーザー認証にはクッキー&セッションを使用
・ユーザーがIMGタグで外部ドメインを指定
<img src="http://www.other.com/sample.jpg">
上の例の場合、指定された画像によってセキュリティーをつつく(偽装画像によりクッキーやセッションを悪用するなど)ことは可能でしょうか?
よろしくお願い致します。
IMGタグでもAタグでも、自サーバ以外の制御できないところにURLを向けて、それを自動的に展開される(Aタグだとクリックする操作はいりますが)内容だと、展開される中身次第で、つつくことは可能ですね。
特に画像は、ブラウザが知っている拡張子なら、自動的に読み込んで展開してしまいますので、一番危険性が高いと思います。
外部から送り込んだスクリプトを、標的サイト(ここではwww.domain.com ――実在するドメインなので例としては不適切ですが)のものと見せかけてブラウザ上で実行させるのがXSSですから、画像のようにスクリプトを含まないものは原則としてXSSに関係ありません。
が、いくつか補足しておきます。
・画像そのものがXSS脆弱性と関係なくても、IMGタグは関係大ありです。結局、ユーザがそのIMGタグ(もしくは画像URL)を入力する部分ではそれなりのXSS対策が必要となります。
・偽装画像によって何らかの悪さをされる可能性はあります。実際、過去にはJPEGやPNGの表示処理の脆弱性が問題になったこともありました。これはクライアント側の脆弱性の話であってXSSとは関係ありません(深く考えてませんが合わせ技はあるかも)が、質問に「偽装画像」とありましたので念のため補足しておきます。
・外部サーバ側でCGIのような形で処理が動くことはあります。トラッキングクッキーなどを送り込んでくることもあるでしょう。が、これは通常の動作であって、当然XSSとは関係ありません。クッキーの盗用やセッションハイジャックには繋がらないはず。
以上、こんな回答で参考になるでしょうか。
質問文が適当でない箇所があったかも知れませんね。参考になりました。ありがとうございます。
ありがとうございます。