こんばんわ!
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。
今回は第二十三回目のJSの脆弱性についてまとめます。
JSの脆弱性
Webサイトに動きを持たせるJSには脆弱性が埋め込まれることが多々あります。
原因は下記に挙げられます
・DOM操作の際に外部から指定されたHTMLタグなどが有効になってしまう機能を用いている
・外部から指定されたJSが動くevalが使用されている
・XMLHttpRequestのURLが未検証である
・location.hrefやsrc属性、href属性のURLが未検証である
対策は下記に挙げられます
・適切なDOM操作あるいは記号のエスケープ
・コンストラクタなどの引数に文字列形式で外部からの値を渡さない
・URLのスキームをhttpかhttpsに限定する
・jQueryのセレクタは動的生成しない
・最新のライブラリを用いる
・XMLHttpRequestのURLを検証する
ここまでです。
読んでいただきありがとうございます