可変値を分離することによるXSS脆弱性対策の実装と評価

発表感想: CSS2008において「可変値を分離することによるXSS脆弱性対策の実装と評価」というタイトルで発表を行った．SQLのバインド機構の考え方を応用し，XSS脆弱性対策に対し有効に対処することのできるバインド機構を提案した．また，提案方式に基づいた実装と評価を行った結果，従来手法による対策を行わずともXSS脆弱性対策を行うことができ，既存の対策手法による問題点を解決することができたことを報告した．
質疑応答にて，可変値を渡しているBind-Valueヘッダにおける%-encodingの実装に脆弱性があるとヘッダインジェクション脆弱性が発生するのではないか，といった点などについてご質問を受けた．今回の実装ではWebアプリ側でHTTPレスポンスヘッダを生成する際に，そのような脆弱性が生じないよう実装を行っているためこうした問題は発生しない点などについて説明を行った．しかしながら，質疑応答における私の返答について，より簡潔かつ明瞭にすべき部分もあったと考えており，この点は今後の課題としたい．また，セッション終了後にも引き続き複数の方と議論をさせていただき，大変有意義であった．この場を借りて，座長の星澤様をはじめとする皆様に感謝したい．