情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

標題について、解説を読んでもよくわかりません。どなたか解説いただけますと幸いです。
なぜ、POSTではなくGETになるのか、なぜimgタグが無効になるのか、よくわからないです。

IPAの正答は
「ア リクエストライン：GET /confirm?"><img src=1 onerror=alert(1)><"」でした。
このリクエストがライブラリMのコードによって処理されると
<meta property="og:url" content="(h)ttps://www.b-sha.co.jp/confirm?"><img src=1 onerror=alert(1)><"">
に展開されます。
このHTMLは以下の3つのパートに分割することができます。
スレ主様の質問ですが、もしPOSTであればクエリ部分はリクエストボディ部分に
格納されます。queryStringには格納されません。
GETであればqueryStringに格納されますので、XSSの検査をすることができます。

imgタグがエラー（無効）になる理由ですが、本来"src="にはイメージの存在する
URLを記述します。
"src=1"は全くでたらめのURLです。そもそもURLとしての体をなしていません。
そのためエラーとみなされ、"onerror=alert(1)"が実行されます。
もしXSS対策をしていないのであれば、画面に"1"が表示されることになります。

ご回答ありがとうございます。なんとなく理解したのですが、前半部分の「○○に展開されます」の○○の部分がよくわかってないです。例えば、選択肢アでは、「/confirm?"><img src=1 onerror=alert(1)><"」が記載されていますが、ライブラリMのコードによって処理されるとなぜ末尾が「alert(1)><"">」と、「">」だけがくっついている形になるのか、理解できていません。ライブラリMのコードに\やダブルクォーテーションが多くあり、理解できてないです。すみません、教えていただけますと幸いです。

この投稿は投稿者により削除されました。(2024.02.06 02:38)

この.out.printlnを変形します。
out.println("<meta property=\"og:url\" content=\"(h)ttps://"+serverName+"/"
+scriptName+"?"+queryString+"\">");
内側の表示対象となる文字列のみを並べ替えます。
変数は分かりやすいように${}でくくります。
実際に表示されるときを考慮して
\" -> "
" -> （なし）
に置き換えます。

通常以下のようなリクエストラインが想定されます。
これは以下のように分解されます。
そして以下のように展開されます。

しかし、以下のリクエストラインは
以下のように分解されます。
そのため、queryStringの前後は
となり、最終的に以下のように展開されます。

一点補足いたします。
本攻撃はHTMLインジェクションによるXSSです。

通常であれば、以下のようなHTMLになるところを、
以下のように別のHTMLを無理やりねじ込みます。

ご回答いただきありがとうございます。概ね理解することができました。1点、下記が腑に落ちなかったです。
----
実際に表示されるときを考慮して
\" -> "
" -> （なし）
に置き換えます。
----
末尾の"\">");について、\の前のダブルクォーテーションがなぜついているのか理解できませんでした。\"については、ダブルクォーテーションをエスケープ処理で表示した理解ですが、\の手前の"がわからず。。。
すみません、教えていただけますと幸いです。

この投稿は投稿者により削除されました。(2024.02.08 06:12)

ダブルクォーテーションは
・out.println()に引数として渡す文字列の" (")
・画面に表示するための" (\")
の2つが混在しています。
そのため分かりずらいのかと思われます。

表示するための" (\")が分かりずらいのであれば、仮に■として置き換えてみます。
最終的な出力は
となります。

ご回答いただきありがとうございます。すみません、やはり末尾の下記の部分がわからないです。

"■>"

最後の"については、記載いただいた通り、頭にある"<metaの部分のけつの部分（下記）だと思っていますが、
・out.println()に引数として渡す文字列の" (")←抜粋

"■>"の部分の■の手前の"は何を指しているのかわからないです。すみません、もし上記の回答でそれも回答済みであれば、私が理解できてないです。恐れ入りますが、教えていただけますと助かります。

上記疑問点の補足です。
文字列は"で囲み、変数は"で囲む必要はない理解のため、"/"や"?"はダブルクォーテーションで囲み、serverName等の変数はダブルクォーテーションで囲まなくてもいい理解です。すみません、この理解自体誤ってましたらご指摘いただけますと幸いです。

申し訳ありませんが、文字列について誤解されているようです。
>最後の"については、記載いただいた通り、頭にある"<metaの部分のけつの
>部分（下記）だと思っていますが、」
ここからして誤っています。
"■>"が一つの文字列です。

元のout.println()の引数を分割すると以下のように
4つの文字列
3つの変数
6つの文字列連結記号
から構成されています。
文字列と文字列の間に変数を挟み込む構成にとなっております。
文字列の部分は固定の値です。変数は可変の値です。
これらを + でつなげた結果をout.println()で出力しています。

大変ありがとうございます。ようやく理解できました。根本的に私の理解が誤ってました。上記でとても腑に落ちました。最初の"は(h)ttps://"のところで一旦終端される形ですね。なるほど。。今までご丁寧にありがとうございました。