はじめまして。開発・運用部の高橋です。 今回はXSS脆弱性対策のツールである XSS Me の実行結果のレポートについてまとめました。使い方については既にまとめている方々がいらっしゃいますが、レポートの見方についてはなかなかないんですよね。そこで、ここではレポートの見方を中心にお話します。

XSS Me とは

まず始めに XSS Me について簡単な説明を。 XSS Me は Firefox のアドオンで、XSS脆弱性の対応状況を調べることができるツールです。 テストの実行から実行結果のレポート出力まで、全てブラウザ上でおこなえるのが特徴です。

入手方法と使い方

さて、肝心の使い方に関してですが、先に述べたように既に有益な情報がありますのでそちらをご覧ください。

• XSS脆弱性が調査できるFirefoxアドオン『XSS Me』
• XSS（クロスサイトスクリプティング）対策に便利なFireFoxアドオンXSS Me

上記サイトを参考にテストの実行まで終わりましたら、次はテスト結果のレポートです。

レポートの見方

テストが完了すると、下記画像のようなレポートが別タブで出力されます。それでは上から順に説明します。

XSS Heuristic Test Results

XSSの危険性のある記号について、それぞれエスケープ等の処理がされているか表示されます。レポートに書かれている通りですね。 なお、テストの対象となる記号ですが、オプションから追加・削除がおこなえます。

XSS String Tests Summary (xxx tests executed)

この項目が今回のメインとなる部分です。 ここには実行されたテストの結果概要が表示されます。 全xxx件のテスト結果が、Passes、Warnings、Failuresの3項目に分類されます。ここではFailuresはありませんが、もし見つかった場合には赤色で表示されます。 以下、各項目の説明です。

項目	内容
Passes	テストを通ったもの XSS脆弱性は見つからなかった
Warnings	他のブラウザではXSS攻撃の被害を受ける可能性があるもの（他の脆弱性検査ツールでは問題ないと判断されたものが挙げられることがあります）
Failures	テストを通らなかったもの XSS攻撃によって被害を受ける可能性がある

この3項目のうち、Warningsが厄介です。 他のブラウザでは危険性があると言われても、それはこのツールじゃ確かめられませんよね。 また、Warningsに関する情報が少なくてどのように判断すれば良いのかわかりづらいのも厄介ですね。

XSS String Test Results

先の XSS Heuristic Test Results の詳細説明です。 問題点や注意点が記載されています。ここを参考にして修正するのが良さそうです。

その他感想、おまけ

以上が XSS Meにおけるレポートの見方です。 以下に、XSS Me に関して気になる点や、私個人が利用してみた感想等をまとめてみました。 良かった点

• 別のアプリケーションを起動する必要がなく、全ての作業をブラウザ上でおこなえる
• テスト結果が一目見てわかるので、修正が必要な箇所の割り出しに時間がかからない

気になる点

• フォーム周りの検査しかできないため、フォーム以外の箇所に潜んでいるXSS脆弱性に関しては検査できない
• ブラウザ依存のため、他のブラウザではXSS脆弱性が見つかる可能性もある

上記を踏まえると、XSS Me は簡易的なテストとして利用するのが適していると思います。 XSS Me だけではなく、他のツールと組み合わせるとより効果的だと思います。 最後に私個人の使い方をご紹介します。 私はお昼や打ち合わせで席を外す際に XSS Me を実行しておき、戻ってきたらレポートを確認するという使い方をしていました。 それというのも、HTML要素の多いページだとテストにかかる時間が非常に長いからです。 私の場合、全てのテストを実行したら5000件を超え、テスト終了まで1時間強かかることがありました。 テストの件数が多い場合は、無駄がなくなる使い方をした方が良さそうです。

参考にさせていただいたサイト

今回のエントリではこちらのサイトを参考にさせて頂きました。 ありがとうございました。 http://labs.securitycompass.com/index.php/exploit-me/xss-me/xss-me-faq/