OWASP テスティングガイド

+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
上 記 のシキヨプトが 動 作 するには、ブョウゴがウェブヘーザを UTF-7 でウヱケードされているものとして 解 釈 しなければなりま
せん。
ボルタバアテ・エンヱケーデァンヱギ
可 変 幅 ウヱケーディヱギとは、 文 字 をウヱケードする 際 に、 長 さが 可 変 のケードを 使 用 する 文 字 ウヱケーディヱギ 配郤 列 の、 別
の 方 式 です。 一 方 、ボラタバイト・ウヱケーディヱギとは、 文 字 を 表 す 際 に、 可 変 バイト 数 を 使 用 する 可 変 幅 ウヱケーディヱ
ギの 一 方 式 です。ボラタバイト・ウヱケーディヱギは、 主 に、 大 きいバイト 数 の 文 字 スットで 表 現 される 文 字 をウヱケードする
ために 使 わわれ、 例 えば、 中 国 語 、 日 本 語 、 韓 国 語 に 使 わわれます。
ボラタバイト・ウヱケーディヱギは、 過遃 去 に、 標 準 的 な 入 力 の 妥妞 当 性 確 認 のを 迂 回 し、キルシ・コイト・シキヨプティヱギや SQL
イヱザェキサュヱ 攻 撃 を 実 行 するために 使 わわれたことがあります。
参 考 文 献
• http://ha.ckers.org/xss.html
• http://www.cert.org/tech_tips/malicious_code_mitigation.html
• http://www.w3schools.com/HTML/html_entities.asp
• http://www.iss.net/security_center/advice/Intrusions/2000639/default.htm
• http://searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/0,289625,sid14_gci1212217_tax299989,00.html
• http://www.joelonsoftware.com/articles/Unicode.html
364