OWASP テスティングガイド

4.8.3 DOM ベースのクロスサアテスクリプテァンヱギのテステ(OWASP-DV-003)
概 要
DOM プーシのキルシコイトシキヨプティヱギは、いわわゆる XSS(キルシコイトシキヨプティヱギ'バギのことで、JavaScript などヘー
ザ 上 のアキティブケヱテヱツによって 起 こるものです。ヤーゴからの 入 力 を 取 得 し、それが 何 か 安 全 でないこと 実 行 すること
で、XSS バギにつながります。 本 項 では、JavaScript が 引 き 起 こす XSS についてのみ 言 及 します。
DOM(ドカャミヱトエブザェキトムデラ'は、ブョウゴでドカャミヱトを 表 現 するための 構 造造 化 されたフェーボットです。DOM は、
JavaScript などの 動 的 なシキヨプトに 対 して、フェーマフィーラドやスッサュヱキッカーなどのドカャミヱトの 構 成 要 素 を 参 照 す
ることを 可 能 にします。また、DOM はブョウゴのスカャヨティとしても 使 わわれます。 例 えば、シキヨプトに 対 して 異 なるドミイヱの
スッサュヱキッカーへのアキスシを 制 限 するといったことです。DOM プーシのキルシコイトシキヨプティヱギの 脆 弱 性 は、 攻 撃
者 が DOM の 要 素 を 制 御 するようなヨキウシトを 使 って、JavaScript などのアキティブケヱテヱツを 変 更 することで 発 生 します。
このトピッキシに 関 連連 する 文 献犰 は 非 常 に 少 なく、 標 準 的 な 解 説 や 形 式 化 されたテシト 方 法 も 少 ないのが 現 状牮 です。
脆 弱 性 の 解 説
すべての XSS バギがコーバからの 応 答 ケヱテヱツを 制 御 する 必 要 がある 訳 ではありません。JavaScript の 脆 弱 なケーディヱ
ギだけでも 同 様 の 結 果 をもたらします。 結 果 はいずれの 場 合 も 一 般 的 な XSS バギであり、デーソを 引 き 渡 す 方 法 が 異 なるだ
けです。
他 のキルシコイトシキヨプティヱギの 脆 弱 性 ( 反 射 型 や 保 存 型 XSS'は、コーバからコニソイジされていないパョミーソが 渡 さ
れ、ヤーゴに 返 され、ヤーゴのブョウゴのケヱテカシトで 実 行 されます。それに 比 べて、DOM プーシのキルシコイトシキヨプ
ティヱギの 脆 弱 性 は、ドカャミヱトエブザェキトムデラの 要 素 を 使 ってケードの 流 れを 制 御 し、 攻 撃 者 が 細 工 したケードで 流
れを 変 更 します。
DOM プーシの XSS の 脆 弱 性 はその 性 質 上 、コーバが 無 い 状牮 況 でも 実 行 することが 可 能 であり、 実 際 に 何 が 実 行 されるか
を 判 断 することが 出 来 ます。これは、XSS 攻 撃 に 対 抗 するために 実 装 された 多 くの XSS フィラソや 検 知 ラーラを 無 力 にする
可 能 性 があります。
最 初 の 事 例 は 下 記 のクライアントサイドのコードを 使 います:
document.write("Site is at: " + document.location.href + ".");
208