溝口 令雄
mizog****@gmail*****
2010年 3月 19日 (金) 00:01:31 JST
お世話になっております。溝口です。
すいません、本日16時台の投稿を受信しないまま、先ほど投稿してしまいまし
た。
何かかみ合っていないところがあると思いますので、私の投稿は適当に流して
おいてください。
よろしくお願いいたします。
__________________________
_________________________________________/ Original Message
Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパー
の脆弱性
From: 溝口 令雄 <mizog****@gmail*****>
To : codei****@lists*****
Cc : --
Date: 2010/03/18 23:55:13
> お世話になっております。溝口です。
>
> kunitsuji <tsuji****@m-s*****> さんwrote:
>
> > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわ
> > け
> > です
> > よね?
> > <input type="text" name="hoge" value="<?php echo htmlspecialchars
> > (set_value('hoge')) ;?>"
>
> これを実行すると、hoge の値が & だった場合、エスケープが二重にかかっ
> て
> 出力は、
>
> &amp;
>
> となりました。
>
> XSS対策はCodeIgniterではグローバルにでもリクエスト毎にでも設定出来ま
> す
> し、Formバリデーションクラスでも各フィールド値へのルール設定でxss_
> clean(またはhtmlspecialchars等)を指定すればエスケープした形で整形さ
> れ
> ると思うのですが、
>
> > ※ただし、1回目はかかって2回目はかからない、ということなので、明ら
> > か
> > におかしいとは思います。
>
> ですよね・・
> 「各開発者の意図は関係なく、1回目は勝手にエスケープしてしまう」とい
> う
> のがおかしいような気もしてきました。
>
> よろしくお願いいたします。
>
> __________________________
> _________________________________________/ Original Message
> Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘル
> パー
> の脆弱性
> From: kunitsuji <tsuji****@m-s*****>
> To : codei****@lists*****
> Cc : --
> Date: 2010/03/18 15:10:21
>
> > kunitsujiです。
> >
> > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわ
> > け
> > です
> > よね?
> > <input type="text" name="hoge" value="<?php echo htmlspecialchars
> > (set_value('hoge')) ;?>"
> >
> > この、set_value()そのものが、htmlspecialchars()をかけているので変換
> > さ
> > れ
> > ますよ、
> > という仕様であれば、届出が必要だと思いますが、
> > どちらなんでしょう?
> > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題では
> > な
> > い
> > かと思います。
> > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うと
> > い
> > う
> > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知
> > 識
> > の問
> > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるので
> > し
> > ょ
> > うか?
> >
> >
> > ※ただし、1回目はかかって2回目はかからない、ということなので、明ら
> > か
> > にお
> > かしいとは思います。
> >
> > 問題は1回目がかかり、2回目がかからない、という部分ですね。
> > このあたりのCI開発側の見解をしりたいですが。
> >
> > 仮に、あくまでもそういう仕様である、ということであれば、、、
> > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。
> > その場合、報告の内容が変わってくると思いますが。
> >
> > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれ
> > ば、
> > set_value()の扱い方の注意勧告としてでるべきではないかと思います。
> >
> >
> >
> > >Kenji です。
> > >
> > >
> > >On Wed, 17 Mar 2010 14:29:36 +0900
> > >溝口 令雄 <mizog****@gmail*****> wrote:
> > >
> > >> ■脆弱性関連情報の届出
> > >> http://www.ipa.go.jp/security/vuln/report/
> > >>
> > >> には登録されてますでしょうか?
> > >
> > >してません。もともと私が見つけたときには、すでに本家 Forum に
> > >あがっている情報でしたし、届け出などはするつもりがなかったので
> > >勝手に公表してます。
> > >
> > >
> > >> JVNで周知されるべきレベルの問題のようにも思います。
> > >
> > >そうですね。そういうルートでやるのもいいかもしれませんね。
> > >
> > >JVN で周知されるべきだとの考えに賛同される方のどなたか
> > >お願いします。私はすでにガイドラインにしたがっていないので。
> > >
> > >
> > >// Kenji
> > >
> > >_______________________________________________
> > >Codeigniter-users mailing list
> > >Codei****@lists*****
> > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
> >
> > _______________________________________________
> > Codeigniter-users mailing list
> > Codei****@lists*****
> > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
> ____________________________________________________________________
>
>
> __________________________________________________Javable.Jp
>
> 溝口 令雄 / Reo MIZOGUCHI
> mizog****@javab*****
> http://www.javable.jp/
>
> 〒174-0063 東京都板橋区前野町3-33-1-402
> Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329
> Skype ID : reomi2002
> ____________________________________________________________
>
____________________________________________________________________
__________________________________________________Javable.Jp
溝口 令雄 / Reo MIZOGUCHI
mizog****@javab*****
http://www.javable.jp/
〒174-0063 東京都板橋区前野町3-33-1-402
Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329
Skype ID : reomi2002
____________________________________________________________