PHP XSS 監査（php-xss-audit）

PHP プロジェクトのソースコードを分析し、クロスサイトスクリプティング（XSS）を特定します。これは、ユーザー入力が出力コンテキストに入り、適切にエスケープ/エンコードされていない場合、またはフレームワークが自動エスケープを無効にしているために式が実行されたり HTML が挿入されたりする場合に発生します。

分類と番号付け

• 詳細については、shared/SEVERITY_RATING.md を参照してください。
• 脆弱性番号：{C/H/M/L}-XSS-{シーケンス番号}

XSS シンク（必須）

以下の出力点を特定します。

• ネイティブ出力：echo/print/printf/<?= ?>（変数をレスポンスに出力）
• レスポンスへの文字列連結：header() / setcookie()（制御可能なコンテンツを含む場合）
• テンプレートレンダリング：
  • Twig：{{ }}（エスケープ）と {% autoescape false %} / |raw のリスクポイント
  • Smarty：fetch/display と安全でない変数出力
  • Blade クラス：{!! !!}（エスケープなし出力）
• 動的スクリプト/イベント属性：on* 属性、<script> 内、URL パラメータへの出力

エスケープ/保護チェック（必須）

疑わしい各チェーンについて、以下を分析する必要があります。

• htmlspecialchars/htmlentities またはフレームワークの自動エスケープが存在するかどうか
• コンテキストエンコーディング（HTML、属性、JS、URL）が存在するかどうか
• エスケープが無効になっているかどうか（raw/raw filter/unescaped output）

トレーサーのトリガー条件（必須）

• ユーザー入力が多層処理を経て HTML フラグメントに連結される場合
• 分岐が存在する場合：ある分岐はエスケープし、別の分岐はエスケープしない場合
• 出力点がテンプレート層にあり、入力がコントローラー層にある場合

レポート出力

以下に出力します。

{output_path}/vuln_audit/xss_{timestamp}.md

脆弱性項目テンプレート（必須）

php-sql-audit とほぼ同じですが、データフローチェーンでは以下を明確にする必要があります。

• 出力コンテキスト：HTML body/attribute/script/URL パラメータ/テンプレートフラグメント
• 具体的なエスケープ関数またはエスケープ無効化の位置と証拠
• PoC には実行可能な XSS ペイロードを含め、必要なエンコーディング方法を区別する必要があります。

証拠の引用（必須：php-route-tracer から）

各 XSS の疑わしい脆弱性について、トレース出力の ## 9) Sink Evidence Type Checklist の XSS 行に対応する証拠の要点を個別に引用する必要があります（ステータスは検証待ちでも構いませんが、証拠の引用は必須です）。

1. EVID_XSS_OUTPUT_POINT：レスポンス出力点の位置の証拠（echo/テンプレート出力/<script>または属性/URL コンテキスト）
2. EVID_XSS_USER_INPUT_INTO_OUTPUT：ユーザー入力が出力に入った証拠
3. EVID_XSS_ESCAPE_OR_RAW_CONTROL：エスケープ/エスケープ無効化の証拠（htmlspecialchars など、または raw/raw モードの証拠）

トレーサーの証拠欠落処理（必須）

• 上記 1～3 のいずれかの重要な証拠の要点が見つからない場合、その脆弱性のステータスは ⚠️検証待ち としかマークできず、直接 ✅悪用可能と確認済み とすることはできません。