第1回「適切なエスケープ処理でクロスサイトスクリプティングに備える」では、Strutsカスタムタグを使用する際の注意点を解説した。今回はサーブレットコンテナが抱える問題にまで視野を広げて、クロスサイトスクリプティング(Cross Site Scripting:XSS)に関する注意点を考察していこう。
エラーページで動作するスクリプト
アプリケーションが返すレスポンスは、必ずしもアプリケーションの開発者が作成したものとは限らない。例えば、アプリケーション内において例外が発生した場合、明示的な指定がなければ製品のデフォルトエラーページが表示される。デフォルトエラーページはデバッグ用に用意されているものが多いため、表示内容には問題の起因となったパラメータやスタックトレースが含まれていることがある。
では、デフォルトエラーページ内に出力される内容にスクリプトとして動作する値が含まれていたときには、どのような挙動が示されるのだろうか。渡されたパラメータを例外としてスローするアプリケーションを作成し、動作を確認してみよう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
作成したアプリケーションのクエリストリングに以下を指定して、リクエストを発行してみる。
inputMsg=<script>alert('XSS');</script>
Tomcat 5.5.15で確認した結果、パラメータは正しくHTMLエンコードされ、スクリプトは動作しなかった。
では、HTMLエンコードはどのタイミングで行われているのだろうか。Strutsのソースコードを追っても、それらしい実装は見当たらない。エラーページはサーブレットコンテナによって作成されるので、サーブレットコンテナがHTMLエンコードを行っていると考えるのが自然だろう。
サーブレットコンテナごとの動作の違いを見ていくと、HTMLエンコードが漏れている実装があった場合に、スクリプトが動作することが確認できた。例えば、Tomcat 4.1.27はエラーページのHTMLエンコードを行わない実装となっているため、同じアプリケーションを実行するとスクリプトが動作する。
このように製品のデフォルトエラーページを使用する際のHTMLエンコードは、サーブレットコンテナ依存の問題となっているため、クロスサイトスクリプティングの脆弱性が存在しないことを必ず確認する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.