クロスサイトスクリプティングとはどういうものか具体的にわかりやすくご説明いただけますでしょうか。よろしくお願いいたします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/05/26 00:41:21
  • 終了:2006/06/02 00:45:03

回答(3件)

id:Kumappus No.1

くまっぷす回答回数3784ベストアンサー獲得回数1852006/05/26 01:25:56

ポイント27pt

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html

http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html

ここの説明が実例も対策も出ていてなかなかわかりやすかったです。

ここの例に沿って言うと、webへのアクセスで、CGIを使うものがあります。例えばhttp://www.hogehoge.com/hoge.cgi?nantara=%3C..... みたいなURLでアクセスするやつですね。

www.hogehoge.comがクロスサイトスクリプティング対策を取っていないサイトだとして、このURLの中に、アクセスした人のブラウザが実行できるスクリプト(JavascriptとかVBScript)を埋め込んでおくと、CGIを実行した結果サイトから送られてくるHTMLにスクリプトを混入させることができます。

(また、CGIの実行だけじゃなくて「何でも書き込めてそのまま表示するような掲示板」だったらそこにスクリプトを書き込みするだけで見た人はそれを実行させられてしまう、などいろいろなパターンが考えられます)

それによって

  • Cookieの盗難(ユーザ情報漏えい)
  • 他のサイトへジャンプさせる(例えばジャンプした先がそっくりさんなサイトでそこでクレジットカード番号を打ち込ませるなどの悪事を働ける。ログイン後に違うサイトに飛ぶケースは割と多いので騙されやすい)
  • 表示内容の改ざん(嘘の内容を見せる)

などが可能になります。

id:ayuemi No.3

ayuemi回答回数216ベストアンサー獲得回数52006/05/26 09:34:43

ポイント27pt

2つのサイトをご紹介させていただきます。

クロスサイトスクリプティング(別名 XSS)はウェブアプリケーションがユーザーから悪意をもってデータを収集する際に発生します。攻撃側はユーザーを騙したりデータを収集するのに JavaScript や VB Script、ActiveX や Flash を潜り込ませ。アカウント乗っ取りやユーザー設定の変更、クッキーの盗用/改竄、不正な広告の表示などから生じるあらゆることを可能にします。。

http://lovemorgue.org/xss.html#example


クロスサイトスクリプティングとは

http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B...

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません