OWASP テスティングガイド

セーシケードが 利 用 可 能 (ベワロイトペッキシ)なら、 入 力 フェーマで 使 わわれたすべての 変 数 を 分 析 すべきです。
特牐 に、PHP、ASP や JSP のようなプルギョマ 言 語 は、HTTP GET と POST ヨキウシトからの 入 力 を 格 納 するために、 予 め 定 義 され
た 変 数 / 関 数 を 使 用 します。
以 下 の 表 は、セーシケードを 分 析 する 際 に 見 るべき 特牐 殊 変 数 と 関 数 をまとめています:
PHP ASP JSP
• $_GET - HTTP GET の 変 数
• $_POST – HTTP POST の 変
数
• $_FILES – HTTP のファイ
ラ・」アップルード 変 数
• Request.QueryString – HTTP GET
• Request.Form - HTTP POST
• Server.CreateObject - ファイラをアップル
ードするために 使 わわれる
• doGet, doPost コーブリット– HTTP
GET と POST
• request.getParameter – HTTP
GET/POST の 変 数
参 考 文 献
書 籍
• Joel Scambray, Mike Shema, Caleb Sima - 「 露 出 したウェブ・」アプヨクーサュヱのハッカヱギ("Hacking Exposed Web
Applications")」, Second Edition, McGraw-Hill, 2006 - ISBN 0-07-226229-0
• Dafydd Stuttard, Marcus Pinto - 「ウェブ・」アプヨクーサュヱのハヱドブッキ -- スカャヨティ 不 具 合 の 発 見 と 利 用 ("The Web
Application's Handbook - Discovering and Exploiting Security Flaws")」, 2008, Wiley, ISBN 978-0-470-17077-9
• Jeremiah Grossman, Robert "RSnake" Hansen, Petko "pdp" D. Petkov, Anton Rager, Seth Fogie - 「キルシコイト・シキヨプティヱギ
攻 撃 : XSS 利 用 と 防 御 ("Cross Site Scripting Attacks: XSS Exploits and Defense")」, 2007, Syngress, ISBN-10: 1-59749-154-3
ホワロアテペーパー
• RSnake: 「XSS(キルシコイト・シキヨプティヱギ) ォヱニヱギヘーパー("XSS (Cross Site Scripting) Cheat Sheet")」 -
http://ha.ckers.org/xss.html
• CERT: 「CERT 勧 告 CA-2000-02 キョイアヱト・ウェブ・ヨキウシトに 埋 め 込 まれた 悪 意 のある HTML ソギ("CERT Advisory CA-2000-02
Malicious HTML Tags Embedded in Client Web Requests")」 - http://www.cert.org/advisories/CA-2000-02.html
• Aung Khant: 「XSS に 何 ができるか - 攻 撃 者 の 視 点 からの XSS の 利 点 ("What XSS Can do - Benefits of XSS From Attacker's
view")」 - http://yehg.org/lab/pr0js/papers/What%20XSS%20Can%20Do.pdf
• Amit Klein: 「キルシコイト・」シキヨプティヱギの 説 明 ("Cross-site Scripting Explained")」 -
http://www.sanctuminc.com/pdf/WhitePaper_CSS_Explained.pdf
• Gunter Ollmann: 「HTML ケード・イヱザェキサュヱとキルシコイト・」シキヨプティヱギ("HTML Code Injection and Cross-site Scripting")」
- http://www.technicalinfo.net/papers/CSS.html
206