クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(cross-site scripting, XSS)
テキストエリアに<script>alart()</script>を入力してサブミットすると実行できてしまうようなやつ
不正なスクリプトが実行されて情報を取られるなどする
起こること
セッション・フィクセーション(session fixation)
攻撃者が用意したセッションIDを使って正規の利用者にログインさせる
対策
各種ヘッダーのチェック
エスケープ処理の実施
CookieにHttpOnly属性をつけてJavaScriptからCookieにアクセスできないようにする
code:mermaid
sequenceDiagram
participant C as Client(ブラウザ)
participant W as Webアプリケーション
C->>W: (1) GET
Note right of W: (2) CSRFトークン生成
W-->>C: CSRF token=yyy(hidden)
C->>W: (3) POST(CSRFトークン=yyy)
Note right of W: (4) CSRFトークン検証
W-->>C: CSRF token=yyy(hidden)
C->>W: (5) GET
Note right of W: (6) Refererチェック?
W-->>C: CSRF token=yyy(hidden)
アラートループ事件(2019年3月)の関連のやつ
URLクリック先でメッセージが無限ループで出るやつをやって補導された事件
確認用
Q. クロスサイトスクリプティング(XSS)
Q. クロスサイトスクリプティングでどういう被害が起こるか
参考
関連
調査用
/pogi-log/Google.icon XSS /pogi-log/Google.icon XSS /pogi-log/Wikipedia.icon
/pogi-log/Wikipedia.icon
メモ