リサーチ１１５

質問
Webアプリの脆弱性について現在PHP+MySQLで掲示板を作成しています。一応POSTやGETから受け取ったデーターは全てmysql_escape_stringを用いてエスケープしていますが、疑い深い性格なのでどうしても信用できません。' or ' 1 ' = ' 1などの代表的な攻撃は今のところ防げているようです。MySQLなので複文は通らないものだと理解していますが、他にどのような攻撃があるのでしょうか？ペネトレーションしてみたいのですが、実際に攻撃者がどのような手法を用いて攻撃してくるのかわかりません。mysql_escape_stringをしていれば「絶対に大丈夫」と言えますか？大丈夫だと言うのであればペネトレーションも必要ないとは思うのですけど・・・また、上記ではSQLインジェクション対策ですけれども、XSS対策ではhtmlspecialcharsを使用しています。これも絶対に大丈夫ですか？

ベストアンサー
文字セットを考慮するmysql_real_escape_stringを使ってください。http://jp.php.net/manual/ja/function.mysql-escape-string.phpというか私はmysql_escape_stringを知らなかったです（汗

質問
例の知恵ノート自動評価プログラム、終息はしたようですが・・・・・・なんかおもしろいことになってますね。運営側の立場だったら・・・・・ってちょっと面白いケーススタディだと思うんです。みなさんもちょっと裏側の人間になったつもりで考えて見ませんか。勝手に評価が上がっていって放置となると、穴がふさがった後にノート書く人と評価の開きが確実にでるので、やはりサービス運営上いろいろと問題がありますよね。でも、元々は知恵ノートのあまりに初歩的な不具合みたいなものなので(エンジニアの方は初歩の XSS みたいなものだとすぐわかるかと思います)そこは悪いですが呆れるところがあるのも事実です。では、自分が運営側の立場に回ったらどう処理するか、なのですけれど、利用規約第一章 7-(2)、12-(1)に抵触していると判断されても仕方がない行為だと思うのですよね。該当プログラムでの評価はログでほぼ確実にわかると思うので、あわせてそれらの評価はノートを書いた人には申し訳ないのですが、削除させてもらう、そんな感じにすることになるかな・・・・・・と私は思うのですけれど、皆さんだったらここをどんなふうに納めますか？元はといえば穴がある事自体が問題なのですけれど、だからといって規約に同意しているのですから規約に逸脱した行為は正当とは言えないと思うんです。※運営でなくとも、誰からもプログラム使った人の ID まるわかりですけどね・・・・・・・・。ネット上であからさまな痕跡残してくるってことがどういうリスクを伴うとか、みんな承知したうえでやってるのかな・・・・・・。しかし、まさかこんな XSS にも満たない初歩的な穴があるなんて探したところは、作った人を褒めてあげたいです。知恵ノートをデバッグしてあげたようなものなので、Yahoo! もホントはお礼すべきところとも思えるのですが、それを知らせる手段がまずかったと思います(笑)。

ベストアンサー
知らせる手段がまずかったと仰っていますが、事実上あれ以外に知らせる手段はありませんよ。もしあのスクリプトの提供者にシステムの欠陥を知らせるという意図があったのだとしても、普通に問い合わせたところでまともに対処されることはあり得なかったでしょうね。実際今回の知恵ノートの問題は、Yahoo!のスタッフに学習する姿勢が無いからこそ起きた問題です。事実数か月前までは、知恵袋の評価や投票にも、このXSSにも見たない初歩的な穴が存在していました。私は数年前から問い合わせでこの穴を指摘し続けてきましたが、Yahoo!スタッフは一向にこの欠陥を直しませんでした。正当な方法でお伝えしても、「確認後に対処します」といった内容のテンプレート的な返答メールが返ってくるだけで、実際に修正したことは一度もありませんでした。実際に修正されたのは、この穴を突く「裏技」が様々なファミリーの間で共有されて、多数の利用者がそれを悪用するようになってからです。痛い目を見なければわからないのが、このウェブサイトの実態です。評価や投票のシステム上の欠陥が修正されても、評価を削除（無効）にするなどといった対応はありませんでした。今回も無いでしょう。もしあるとすれば、知恵ノートの評価プログラムの犠牲者を優遇する一方で、知恵袋での評価＆投票の裏技による大多数の犠牲者を不当に扱ってしまうことになります。つまり一貫性の無い対応を採ることになるのです。ちなみに、「Yahoo!スタッフが規制した」というのも、実は誤った認識です。実際、知恵袋の評価＆投票も、知恵ノートの評価も、まだ開発するツール次第で十分操作できます。ただ「裏技」として「表」面化していないだけのことです。

質問
【YouTubeが変】「Internet Explorerはクロスサイトスクリプトを防止するために、このページを変更しました」IE9を使用していますが、YouTubeを開いたら「Internet Explorerはクロスサイトスクリプトを防止するために、このページを変更しました」というのが下部に表示されます。それだけでなく、YouTubeの正規広告以外の広告があちこちに表示されおかしくなっています。この広告を表示されないようにしたいのですがどうしたらいいのでしょうか？ネットで調べてインターネットオプションから「XSSフィルターを有効にする」を無効にするにしましたが、この文言は表示されなくなりますが、不適切な広告が消えません。こころあたりがあるとすれば、とあるプレミアムリンクジェネレーターでFilesonicにある動画をダウンロードしました。それ以降この表示が出た気がします。何か仕掛けられたんでしょうか？

ベストアンサー
仕込まれたかどうか解からないが・・インターネットオプション→プライバシーでポップアップブロックを有効にするにチェックを入れてみて下さい補足へ）何か仕掛けられたかもすべてのプログラムかプログラムのアンインストールで、おかしなプログラムがあるかどうか確認して下さいまた他の回答を待って下さい

質問
クロスサイトスクリプト とはなんでしょうか？皆様こんにちは♪最近、mixi の他の人の日記を開くと、『 InternetExplorer は、クロスサイトスクリプトを防止するために、このページを変更しました。』というメッセージが毎回出るようになってしまいました。さすがに毎回でるとわずらわしいので、自分なりに調べて、コントロールパネル ↓インターネットオプション ↓ セキュリティ ↓レベルのカスタマイズ ↓XSS フィルターを有効にする を 無効にチェックしました。そうしたら、mixi へ行っても『 InternetExplorer は、クロスサイトスクリプトを防止するために、このページを変更しました。』というメッセージが出なくなりました。これで、快適にmixiが出来るようになったのですが、XXS を無効にしたことによってなにか問題はありますでしょうか？？お分かりになる方、どうぞよろしくお願い致します。ちなみに、Windows XPIE8です。

ベストアンサー
クロスサイトスクリプトは、パスワードやWebページに入力されるデータを記録して送信することもあります。IEはデフォルトでコードをブロックしますので、そのようなアラートが表示されるならセキュリティに問題があると思われます。IEのキャッシュをすべて削除するIEをリセットするWindows Updete をきっちり行い、最新にするセキュリティソフトを導入、あるいは更新するをおこなってください。その上で、「CCleaner」（無料版）などを用いて、クリーナー >>□ 保存場所 をクリーニングおよびレジストリの項目をスキャンなさってみてください。http://www.piriform.com/ccleaner

質問
『Internet Explorerは、クロスサイト スクリプトを防止するために、このページを変更しました。詳細についてはここをクリックしてください』amazonの商品とか価格.comの商品をクリックする度に上記の記載が出てきます今までそのような記載が出たことは無いのに今日から出るようになりました調べたところXSSフィルターを無効にすれば上記の記載は出てこないみたいですが自己責任でお願いしますとか書いてあったんでリスク負う位なら無効にしないで、このまま乗り切ろうかと思うんですが時間が経てばＩＥ８が改善されて出なくなりますか？それと何で今まで出なかったものが今日から出るようになったんでしょうか？もともとXSSフィルターが無効になっていたのを自分の手違いで有効にしてしまったということでしょうか？

ベストアンサー
攻撃（クロスサイトスクリプティング）を防御したメッセージなので無効にしたらダメですよ。