【PHP】htmlspecialchars関数でXSS対策をしてみた

こんにちは。サイオステクノロジーの川田です。
今回はWebアプリケーションの脆弱性のひとつ、クロスサイトスクリプティング(XSS)をご紹介致します。

クロスサイトスクリプティング(XSS)とは

クロスサイトスクリプティングとは攻撃者が悪意のあるスクリプトを埋め込み、ユーザーに実行させる攻撃手法。この攻撃により利用者はCookieのデータや個人情報等を攻撃者に送信してしまい、意図しない操作を実行させられてしまいます！

図にまとめてみました。

PHPを使ってXSS攻撃を実際にしてみよう！

入力画面を用意しました。
こちらはXSS対策をされていない簡単なプログラムになります。

「確認」ボタンをクリックすると、入力した値が出力されます。

それでは入力フォームに「名前」＋スクリプトを入力してみます。
※こちらはCookieから値を取得するためのスクリプトになります。

<script>alert(document.cookie)</script>

<!DOCTYPE html>
<html lang="ja">
 <head>
   <script type="text/javascript">
       document.cookie = "test=HelloWorld";
   </script>
   <meta charset="utf-8">
   <title>XSSテスト-入力画面-</title>
</head>
<body>
  <h1>入力画面</h1>
    <form action="confirm.php" method="post">
        <label for="username">Name:</label>
        <input type="text" style="width:290px;" name="name"><br/><br/>
        <input type="submit" value="確認">
    </form>
</body>
</html>

「確認」ボタンをクリックすると。
確認画面に先ほど保存したCookieデータが表示されてしまいました((((；ﾟДﾟ))))

では対策方法をみていきましょう。

基本的なXSS対策とは

サニタイジングで対策を行うことです。
先ほどのscriptタグは対策をしなければJavaScriptのスクリプトが実行されてしまいます。
これらの文字列を実行させないようにするのがサニタイジングというわけです。
ではどうやるか！？ということになりますが、PHPでは関数が用意されております。

htmlspecialchars関数について

■変換対象となる文字

詳しくは公式ページをご覧ください！
参考☞htmlspecialchars

htmlspecialchars関数を使ってみよう！

先ほどのプログラムにhtmlspecialchars関数を使用して、動かしてみます。

■変更前

$name = $_POST['name'];

■変更後

$name = htmlspecialchars($_POST['name'], ENT_QUOTES, "UTF-8");

それではこちらのスクリプトを入力画面に入力します。

<script>alert(document.cookie)</script>

そうするとスクリプトが文字として扱われ、確認画面にそのまま表示されることができました！

まとめ

今回はPHPの関数を使用して、ご紹介致しました。

簡単ではありましたが、最後までお読みいただきありがとうございましたm(__)m