`
lvhuiqing
  • 浏览: 253227 次
  • 性别: Icon_minigender_1
  • 来自: 沈阳
社区版块
存档分类
最新评论

連載一、クロスサイトスクリプティングについて

阅读更多

1、XSSの仕組み

前置きが長くなってしまったが、XSSの仕組みについて説明する。XSSを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になる。静的なページ、つまり通常のHTMLページではこの問題は起こらない。

2、XSS攻撃の流れ

a, ユーザーが攻撃者の用意したページにアクセスする
b, リンクを含んだページがブラウザに表示される
c, ユーザーがリンクをクリックする
d, ユーザーが(無意識のうちに)攻撃対象のサイトにスクリプトを含んでアクセスする
e, スクリプトを含んだページがブラウザに表示される
f, ユーザーのブラウザ上でスクリプトが実行される

 

3、目的

ユーザもらった情報は 脆弱サイトからみたいですけど、 攻撃者サイトからです。

 

4、特徴

 

これが最も基本的な場合のステップであるが、ほかにもさまざまなバリエーションがある。このステップで一番ネックになりそうなのが13 で、ユーザーが何らかの操作をしなければならないようになっている。しかし、攻撃者は巧妙な仕掛けで無意識のうちにユーザーが13 の動作をしてしまうような仕組みを作るだろう。

 

 例えば、ユーザーがリンクをクリックするのを待つのではなく、自動的に次のページへ飛ぶような方法がある。「このページは移動しまし た。○○秒後に自動的に移動します」といったページを見掛けることがよくあるが、原理はそれと同じである。このようなページを作成しておけば、3 のステップをユーザーが無意識のうちに行わせてしまうことができる。

 

 

参照サイト:http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics