mine-D
あなたも質問に答えられます!
ウォッチリストに追加
- 状態:終了
- 回答数:2 / 20件
- 回答ポイント:70ポイント
- 登録:2007-01-31 13:41:39
- 終了:2007-01-31 16:41:38
- カテゴリー:
インターネット 
ウェブ制作
kn1967
42ポイント>xssの一般概念ではなく、具体的に上記サイトで何をやっているのかを知りたい
ipaxss.htmlの中身は、IPAのフォームに情報を流し込むためのフォームと、そのフォームを起動するためのJAVAScriptになっています。
ipaxss.html の中身を知りたければブラウザのセキュリティ設定でJAVAScriptを使用しないようにしておけば勝手にIPAに飛ばされたりしませんから、ソースを見ることが出来るようになります。
質問者:mine-D
mine-D
なるほど。そういう事ですか。見てみます。…てことは、上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってるという事ですか!それはかなり迷惑かも><
SALINGERhttp://www.ipa.go.jp/security/awareness/vendor/programming/a01_0...
クロスサイトスクリプティングは悪意のあるサイトからurlにスクリプトを載せて、通常のサイトに飛ばしそのサイトが入力データをちゃんとチャックせずにそのまま返すサイトだと、スクリプトがそのまま返ってくるので、そのサイトのアカウントやパスのクッキーなどが漏洩するということです。
質問者:mine-D
mine-D
xssの一般概念ではなく、具体的に上記サイトで何をやっているのかを知りたいのです。
この質問・回答へのコメント
mine-D
2007-01-31 13:43:48
すみません、アドレス間違ってました。正しくは
http://hamachiya.com/junk/ipaxss.html
です。
http://hamachiya.com/junk/ipaxss.html
です。
1/の方の回答は、質問文が『xssに関してはあまり詳しくないです』という言葉で締めくくられているという点を考慮しての事だと思いますので『xssの一般概念ではなく』という矛盾する言葉が返されるとは思いもよらなかったのではないかと思いますよ。
それにしても、『動的に生成されるHTMLページをチェックしよう』と言っているページを回答に盛り込むあたりはブラックユーモアですよね。
それにしても、『動的に生成されるHTMLページをチェックしよう』と言っているページを回答に盛り込むあたりはブラックユーモアですよね。
>>kn1967さん
なるほど。言葉足らずだったかもしれません。「XSSは何か」程度はおぼろげに分かっているけれど、具体例をなかなか目にする事ができずにいたので、今回はまちやさんの脆弱性指摘を機会に「実際どんな仕組みになっていて、どう危険なのか」を質問したいと思いました。しかし質問する事によって(一時的にせよ)被害がよけいに拡大してしまう可能性もあるんだなぁという事を、今回は学びました。具体例を目にする機会が少ないのはそのせいもあるんでしょうかね。
なるほど。言葉足らずだったかもしれません。「XSSは何か」程度はおぼろげに分かっているけれど、具体例をなかなか目にする事ができずにいたので、今回はまちやさんの脆弱性指摘を機会に「実際どんな仕組みになっていて、どう危険なのか」を質問したいと思いました。しかし質問する事によって(一時的にせよ)被害がよけいに拡大してしまう可能性もあるんだなぁという事を、今回は学びました。具体例を目にする機会が少ないのはそのせいもあるんでしょうかね。
>上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってる
私は通常からスクリプトは切ってあるので動作の確認までは行っていませんが、それなりの負荷が少なからず掛かっている事には違いないですね。
ちなみに、フォーム=メールとは限りませんよ。それは宛て先がメールアドレスの場合だけです。今回の場合はCGIプログラムが宛て先になります。
あと、、、注意しておかなければならないことはIPAにアクセスしたことによってIPA側にアクセス元(貴殿)のIPアドレスやブラウザの種類などの基本情報が残るという事です。これはipaxss.htmlにアクセスした事でも同じ事です。
セキュリティに関して詳しく無いのだと思いますが、相手に迷惑をかけるのは勿論の事、自身にも災厄が降りかかるような地雷がネット上には沢山ありますので、あまり興味本位で歩き回らないことをまずは願います。
私は通常からスクリプトは切ってあるので動作の確認までは行っていませんが、それなりの負荷が少なからず掛かっている事には違いないですね。
ちなみに、フォーム=メールとは限りませんよ。それは宛て先がメールアドレスの場合だけです。今回の場合はCGIプログラムが宛て先になります。
あと、、、注意しておかなければならないことはIPAにアクセスしたことによってIPA側にアクセス元(貴殿)のIPアドレスやブラウザの種類などの基本情報が残るという事です。これはipaxss.htmlにアクセスした事でも同じ事です。
セキュリティに関して詳しく無いのだと思いますが、相手に迷惑をかけるのは勿論の事、自身にも災厄が降りかかるような地雷がネット上には沢山ありますので、あまり興味本位で歩き回らないことをまずは願います。
>具体例を目にする機会が少ない
ある程度スキルが付いてくれば、具体例を示すまでもなく理論だけで理解できるようになりますし、かりに実験を行う場合でも自前で用意して行います。
それを公開実験のようにしている人の気持ちは私には理解できません。
ある程度スキルが付いてくれば、具体例を示すまでもなく理論だけで理解できるようになりますし、かりに実験を行う場合でも自前で用意して行います。
それを公開実験のようにしている人の気持ちは私には理解できません。
>>kn1967さん
ありがとうございます。ただアクセスしてIPが残ることそのものは危険であるとは思いませんが、いかがでしょうか。今回のipaxss.html自体もはてなブックマークの注目リストに上がっていますよね。もちろん、今までの経験からはまちやさん関係はなるべくリンクを踏まないに越したことはないと思いますし、kn1967さんのようにjavascriptを切っておく方がいいとは思いますが。
ありがとうございます。ただアクセスしてIPが残ることそのものは危険であるとは思いませんが、いかがでしょうか。今回のipaxss.html自体もはてなブックマークの注目リストに上がっていますよね。もちろん、今までの経験からはまちやさん関係はなるべくリンクを踏まないに越したことはないと思いますし、kn1967さんのようにjavascriptを切っておく方がいいとは思いますが。
>IPが残ること
今回の件では問題無いと思います。
速反撃に出る(攻撃元のIPアドレスに対してプローブを発して攻撃口を探り、そして攻撃・侵入してくる。。。。)ような仕組みも造るのは簡単なので注意が必要という事だけ記憶しておいてください。
地雷を踏んでしまって攻撃を受けても、ファイアウォールソフトの導入やルータの設置などで防ぐ事が出来ますので、そういった備えも常日頃から必要ということは言うまでもないですよね。
興味本位で歩き回ると危険ではありますが、あまり怖がっていては何も出来なくなってしまいますので、備えだけはしっかりと確認するようにだけしてください。
今回の件では問題無いと思います。
速反撃に出る(攻撃元のIPアドレスに対してプローブを発して攻撃口を探り、そして攻撃・侵入してくる。。。。)ような仕組みも造るのは簡単なので注意が必要という事だけ記憶しておいてください。
地雷を踏んでしまって攻撃を受けても、ファイアウォールソフトの導入やルータの設置などで防ぐ事が出来ますので、そういった備えも常日頃から必要ということは言うまでもないですよね。
興味本位で歩き回ると危険ではありますが、あまり怖がっていては何も出来なくなってしまいますので、備えだけはしっかりと確認するようにだけしてください。
了解です。ありがとうございました。
この質問・回答へのトラックバック
nintendogs
Yahoo!オークション
楽天市場で検索
関連キーワード
