http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html
ここの説明が実例も対策も出ていてなかなかわかりやすかったです。
ここの例に沿って言うと、webへのアクセスで、CGIを使うものがあります。例えばhttp://www.hogehoge.com/hoge.cgi?nantara=%3C..... みたいなURLでアクセスするやつですね。
www.hogehoge.comがクロスサイトスクリプティング対策を取っていないサイトだとして、このURLの中に、アクセスした人のブラウザが実行できるスクリプト(JavascriptとかVBScript)を埋め込んでおくと、CGIを実行した結果サイトから送られてくるHTMLにスクリプトを混入させることができます。
(また、CGIの実行だけじゃなくて「何でも書き込めてそのまま表示するような掲示板」だったらそこにスクリプトを書き込みするだけで見た人はそれを実行させられてしまう、などいろいろなパターンが考えられます)
それによって
などが可能になります。
2つのサイトをご紹介させていただきます。
クロスサイトスクリプティング(別名 XSS)はウェブアプリケーションがユーザーから悪意をもってデータを収集する際に発生します。攻撃側はユーザーを騙したりデータを収集するのに JavaScript や VB Script、ActiveX や Flash を潜り込ませ。アカウント乗っ取りやユーザー設定の変更、クッキーの盗用/改竄、不正な広告の表示などから生じるあらゆることを可能にします。。
http://lovemorgue.org/xss.html#example
クロスサイトスクリプティングとは
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B...
コメント(0件)