mb_convert_kana()のaオプションの脆弱性について

タイトルの件は置いといて。

先日のこの記事のコメントにて、某プラグイン作者様より、「XSS脆弱性(ぜいじゃくせい)」なんて言葉があったので、ちょっと分からない方の為に、簡単に説明してみたいと思います。

XSSとは、"Cross Site Scripting"の略で、それだったら略したらCSSじゃん!となるわけですが、スタイルシートのそれと混同してしまうため、XSSと略称されています。

悪意のある訪問者が、セキュリティ上の「穴」を攻撃(スクリプト混入されたりだとか)されて、個人の情報が漏れたりだとか、恐ろしい結果に繋がるわけです。

昔、携帯サイトの掲示板なんかで攻撃されているのを見かけた事がないでしょうか?例えば、真っ白になって表示されなくなっていたりとか。
あれもXSSの餌食となっていたわけです。
auには効くけど、ドコモには効かないとかいうのもあったなぁ。。。

最近では矢吹さんのLOCOBOARDなどの高機能な掲示板が登場してきて、タグ不可などの機能は当たり前になってきました。

で、PAPALOGが使っているMobile Eye+ですが、コメント表示部分にXSS脆弱性があると指摘がありました。
んなもん私はMobile Eye+を使い始めた瞬間から、それにあたる部分を修正しています。

問題のそれは、Mobile Eye+のプラグインに含まれるfunction.phpの31~32行目の全角英数字カナを半角にする関数で、オプションのaを使っている事が原因なようです。(デフォルトではaskVが設定されている)

全角を半角にすることでの省パケ機能として設定されているもので、管理画面の設定でも使用する・使用しないが選択できるのですが、このmb_convert_kana()のaオプションがちょっと厄介で、英数字だけでなく、ASCII記号までも半角にされてしまうわけで、要は→>までもが>に変換されるという事態に。。。

で、ワタシは何故即座にここを修正したか。

半角カナが苦手だからというオチですw

しかしながら、コメントいただいた某プラグイン作者様、ご指摘ありがとうございます(_"_)
フッターの十六夜.jpへのリンクの件は、確かに気になっていたので、ご指摘どおり修正いたしました。

3 Comments

  1. なんだか僕のコメントで迷惑かけてしまったみたいで申し訳ないです><
    新しいPAPALOGのデザイン素敵です。
    インテリアショップみたいですね^^

    Comment by LoGu — 2009.01.19 @1:52
  2. XSSといえば、予告inがそれで障害を被ったことがあったような無かったような…。

    新しいデザイン、美しいです。

    Comment by Leo — 2009.01.19 @7:40
  3. >>LoGuさん
    いえ迷惑なんて^^
    答えたワタシの返事に作者さんが過剰に反応しただけですよ。
    彼の文章見て、どう捉えるかは人それぞれ。
    インテリアショップだなんて、うれしいです^^

    >>Leoさん
    ですです。そんでありがとうございます^^

    Comment by Ray — 2009.01.19 @23:04

Sorry, the comment form is closed at this time.