コンテンツインジェクション

medium Web App Scanning プラグイン ID 113212

Language:

概要

コンテンツインジェクション

説明

コンテンツインジェクションは、任意の文字を Web ページに挿入する攻撃です。アプリケーションがユーザー指定のデータを適切に処理しない場合、攻撃者は通常、ページに反映されるパラメーター値を使用して Web アプリケーションにコンテンツを提供できます。この攻撃は通常、ユーザーの識別子を盗むために偽の認証テストパターンなどでターゲットページを完全に変更する URL を送信し、ソーシャルエンジニアリングとして、またはソーシャルエンジニアリングと組み合わせて使用されます。場合によっては、この攻撃によって直接または間接的にクロスサイトスクリプティングが引き起こされる可能性もあります。

ソリューション

コンテンツインジェクションの脆弱性を修正するには、HTML ページのコード内で信頼できないデータやフィルタリングされていないデータを使用しないことが重要です。
信頼できないデータは、クライアントから発信されるだけでなく、サードパーティや以前にアップロードされたファイルなどから発信される場合があります。
信頼できないデータのフィルタリングには、通常、特殊な文字を HTML エンティティでエンコードされた対応物に変換することが含まれます (ただし、他の方法も存在します。参考文献を参照してください)。これらの特殊文字は次のとおりです。
* `&` * `<` * `>` * `'` * `'` * `/`
HTML エンティティエンコーディングの例は、「<」を「<」に変換することです。
信頼できない入力をフィルタリングすることは可能ですが、信頼できない入力 (たとえフィルタリングされていたとしても) を決して配置すべきでない場所が、HTML ページ内に 5 つあります。
1. スクリプトに直接。2. HTML コメントの中。3. 属性名の中。4. タグ名の中。5. CSS に直接。
これらの場所にはそれぞれ、エスケープおよびフィルタリングの独自の形式があります。