クロスサイトスクリプティングについての質問です。

http://hamachiya.com/junk/xss.html
xssが実行されているらしいのですが、何が行われているのか、よく分かりません。情報処理推進機構の「講演会受付」という画面が表示されるだけです。詳しく解説していただけないでしょうか。xssに関してはあまり詳しくないです。

回答の条件
  • 1人2回まで
  • 登録:2007/01/31 13:41:39
  • 終了:2007/01/31 16:41:38

ベストアンサー

id:kn1967 No.2

kn1967回答回数2915ベストアンサー獲得回数3012007/01/31 15:47:21

ポイント42pt

>xssの一般概念ではなく、具体的に上記サイトで何をやっているのかを知りたい

ipaxss.htmlの中身は、IPAのフォームに情報を流し込むためのフォームと、そのフォームを起動するためのJAVAScriptになっています。

ipaxss.html の中身を知りたければブラウザのセキュリティ設定でJAVAScriptを使用しないようにしておけば勝手にIPAに飛ばされたりしませんから、ソースを見ることが出来るようになります。

id:mine-D

なるほど。そういう事ですか。見てみます。…てことは、上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってるという事ですか!それはかなり迷惑かも><

2007/01/31 15:59:22

その他の回答(1件)

id:SALINGER No.1

SALINGER回答回数3454ベストアンサー獲得回数9692007/01/31 13:57:56

ポイント28pt

http://www.ipa.go.jp/security/awareness/vendor/programming/a01_0...

クロスサイトスクリプティングは悪意のあるサイトからurlにスクリプトを載せて、通常のサイトに飛ばしそのサイトが入力データをちゃんとチャックせずにそのまま返すサイトだと、スクリプトがそのまま返ってくるので、そのサイトのアカウントやパスのクッキーなどが漏洩するということです。

id:mine-D

xssの一般概念ではなく、具体的に上記サイトで何をやっているのかを知りたいのです。

2007/01/31 15:18:23
id:kn1967 No.2

kn1967回答回数2915ベストアンサー獲得回数3012007/01/31 15:47:21ここでベストアンサー

ポイント42pt

>xssの一般概念ではなく、具体的に上記サイトで何をやっているのかを知りたい

ipaxss.htmlの中身は、IPAのフォームに情報を流し込むためのフォームと、そのフォームを起動するためのJAVAScriptになっています。

ipaxss.html の中身を知りたければブラウザのセキュリティ設定でJAVAScriptを使用しないようにしておけば勝手にIPAに飛ばされたりしませんから、ソースを見ることが出来るようになります。

id:mine-D

なるほど。そういう事ですか。見てみます。…てことは、上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってるという事ですか!それはかなり迷惑かも><

2007/01/31 15:59:22
  • id:mine-D
    すみません、アドレス間違ってました。正しくは
    http://hamachiya.com/junk/ipaxss.html
    です。
  • id:kn1967
    1/の方の回答は、質問文が『xssに関してはあまり詳しくないです』という言葉で締めくくられているという点を考慮しての事だと思いますので『xssの一般概念ではなく』という矛盾する言葉が返されるとは思いもよらなかったのではないかと思いますよ。

    それにしても、『動的に生成されるHTMLページをチェックしよう』と言っているページを回答に盛り込むあたりはブラックユーモアですよね。
  • id:mine-D
    >>kn1967さん
    なるほど。言葉足らずだったかもしれません。「XSSは何か」程度はおぼろげに分かっているけれど、具体例をなかなか目にする事ができずにいたので、今回はまちやさんの脆弱性指摘を機会に「実際どんな仕組みになっていて、どう危険なのか」を質問したいと思いました。しかし質問する事によって(一時的にせよ)被害がよけいに拡大してしまう可能性もあるんだなぁという事を、今回は学びました。具体例を目にする機会が少ないのはそのせいもあるんでしょうかね。
  • id:kn1967
    >上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってる

    私は通常からスクリプトは切ってあるので動作の確認までは行っていませんが、それなりの負荷が少なからず掛かっている事には違いないですね。

    ちなみに、フォーム=メールとは限りませんよ。それは宛て先がメールアドレスの場合だけです。今回の場合はCGIプログラムが宛て先になります。

    あと、、、注意しておかなければならないことはIPAにアクセスしたことによってIPA側にアクセス元(貴殿)のIPアドレスやブラウザの種類などの基本情報が残るという事です。これはipaxss.htmlにアクセスした事でも同じ事です。
    セキュリティに関して詳しく無いのだと思いますが、相手に迷惑をかけるのは勿論の事、自身にも災厄が降りかかるような地雷がネット上には沢山ありますので、あまり興味本位で歩き回らないことをまずは願います。
  • id:kn1967
    >具体例を目にする機会が少ない

    ある程度スキルが付いてくれば、具体例を示すまでもなく理論だけで理解できるようになりますし、かりに実験を行う場合でも自前で用意して行います。
    それを公開実験のようにしている人の気持ちは私には理解できません。
  • id:mine-D
    >>kn1967さん
    ありがとうございます。ただアクセスしてIPが残ることそのものは危険であるとは思いませんが、いかがでしょうか。今回のipaxss.html自体もはてなブックマークの注目リストに上がっていますよね。もちろん、今までの経験からはまちやさん関係はなるべくリンクを踏まないに越したことはないと思いますし、kn1967さんのようにjavascriptを切っておく方がいいとは思いますが。
  • id:kn1967
    >IPが残ること

    今回の件では問題無いと思います。
    速反撃に出る(攻撃元のIPアドレスに対してプローブを発して攻撃口を探り、そして攻撃・侵入してくる。。。。)ような仕組みも造るのは簡単なので注意が必要という事だけ記憶しておいてください。

    地雷を踏んでしまって攻撃を受けても、ファイアウォールソフトの導入やルータの設置などで防ぐ事が出来ますので、そういった備えも常日頃から必要ということは言うまでもないですよね。


    興味本位で歩き回ると危険ではありますが、あまり怖がっていては何も出来なくなってしまいますので、備えだけはしっかりと確認するようにだけしてください。
  • id:mine-D
    了解です。ありがとうございました。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません