id:manesapo
ポイントあり80pt回答受付終了
コンピュータ

クロスサイトスクリプティングとはどういうものか具体的にわかりやすくご説明いただけますでしょうか。よろしくお願いいたします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:
  • 終了:2006/06/02 00:45:03
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答3件)

id:Kumappus No.1

回答回数3784ベストアンサー獲得回数185

ポイント27pt

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html

http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html

ここの説明が実例も対策も出ていてなかなかわかりやすかったです。

ここの例に沿って言うと、webへのアクセスで、CGIを使うものがあります。例えばhttp://www.hogehoge.com/hoge.cgi?nantara=%3C..... みたいなURLでアクセスするやつですね。

www.hogehoge.comがクロスサイトスクリプティング対策を取っていないサイトだとして、このURLの中に、アクセスした人のブラウザが実行できるスクリプト(JavascriptとかVBScript)を埋め込んでおくと、CGIを実行した結果サイトから送られてくるHTMLにスクリプトを混入させることができます。

(また、CGIの実行だけじゃなくて「何でも書き込めてそのまま表示するような掲示板」だったらそこにスクリプトを書き込みするだけで見た人はそれを実行させられてしまう、などいろいろなパターンが考えられます)

それによって

  • Cookieの盗難(ユーザ情報漏えい)
  • 他のサイトへジャンプさせる(例えばジャンプした先がそっくりさんなサイトでそこでクレジットカード番号を打ち込ませるなどの悪事を働ける。ログイン後に違うサイトに飛ぶケースは割と多いので騙されやすい)
  • 表示内容の改ざん(嘘の内容を見せる)

などが可能になります。

id:aiaina No.2

回答回数8179ベストアンサー獲得回数131

ポイント26pt

こちら参考になりますでしょうか

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html

id:ayuemi No.3

回答回数216ベストアンサー獲得回数5

ポイント27pt

2つのサイトをご紹介させていただきます。

クロスサイトスクリプティング(別名 XSS)はウェブアプリケーションがユーザーから悪意をもってデータを収集する際に発生します。攻撃側はユーザーを騙したりデータを収集するのに JavaScript や VB Script、ActiveX や Flash を潜り込ませ。アカウント乗っ取りやユーザー設定の変更、クッキーの盗用/改竄、不正な広告の表示などから生じるあらゆることを可能にします。。

http://lovemorgue.org/xss.html#example


クロスサイトスクリプティングとは

http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B...

コメント(0件)

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ