ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」
    このエントリをはてなブックマークに登録

面白い記事を見かけたのでご紹介します。

ケータイのセキュリティに詳しい徳丸氏による、ケータイのJavaScript実装についてのブログエントリーです。

 

→ ockeghem(徳丸浩)の日記 携帯電話事業者に学ぶ「XSS対策」 [d.hatena.ne.jp]

 

XSS脆弱性のあるスクリプトを用意して、ドコモのiモードブラウザ2.0端末と、ソフトバンクのJavaScript対応でテストを行うという内容なのですが、なかなかダメダメな実装となっています。

詳しくは上記のリンク先を見ていただくとして概要だけ触れると、ドコモはalertやconfirmを殺しているので一見動作せず。
ソフトバンクも「<」「>」「”」をカットしている、しかしパーセントエンコードを使うと入力できてしまう、という状況のようです。

 

どちらも一見XSSが起きないように対策を取っているようで(ドコモの方はXSS対策したつもりではないのかもしれませんが)、まったく意味がないという状態です。
特にソフトバンクの対応はひどいですね。

当たり前のことですが、ケータイサイトを作成する際にもPCサイトと同じようにXSS対策はしっかり行おう、というそんなお話でした。

 

関連:


 

最近の記事







One Response to “ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」”

  1. スライド資料が公開されていました
    http://d.hatena.ne.jp/ockeghem/20100730/p1

コメントを書く