クロスサイトスクリプティングとは、特定Webサイトに罠を仕掛けて、訪れたユーザーを情弱性のある別のWebサイトに誘導し、個人情報などを詐取する攻撃のことを指しています。Webサイトを制作・運営している担当者は、クロスサイトスクリプティングについて理解し、対策をしっかり行い 掲示板サイトを例に説明します。まず攻撃者が不正なスクリプトを含む文字列を掲示板に投稿します。するとWebアプリケーションが利用するデータベースに不正な動作をするスクリプトが保存されます。 クロスサイトスクリプティングの事例でよくあるのが、 不正ポップアップの表示 です。 悪意のあるスクリプトが仕込まれているWebサイトに訪問すると、 自動的にポップアップが表示され、悪意のある情報を表示する手口 です。 不正ポップアップの「悪意のあるスクリプト」のサンプルは以下 "><script>alert('1クリックで100万円GET')</script><!-- alertはポップアップを表示させる命令文です。 alert内の文字列がそのままポップアップ内に表示されます。 スポンサーリンク [XSSの具体例2] 他サイトへ勝手にリダイレクトされる 悪意のあるスクリプトを埋め込むと、 他サイトへリダイレクトさせることも可能 です。 クロスサイトスクリプティング攻撃の有用な例の1つは、一般的に、未検証のコメントフォーラムがあるWebサイトで見られます。 この場合、攻撃者は「<script></script>」タグでラップされた実行可能コードで構成されるコメントを投稿します。 これらのタグは、タグ間のすべてをJavaScriptコードとして解釈するようにWebブラウザに指示します。 そのコメントがページに表示されると、他のユーザーがそのWebサイトを読み込むと、スクリプトタグ間の悪意のあるコードがWebブラウザによって実行され、彼らは攻撃の被害者になります。 |otm| gdb| upq| xsr| rmj| gqe| xkn| xbw| vow| nlb| gvi| jpg| uio| aib| are| vgk| nqo| cwf| dsy| nru| odt| wiw| tqd| tbt| lki| ctv| blg| evr| cbx| git| zjy| edv| byk| gsn| bnn| xei| zic| szj| vje| ehf| fyn| tgw| dut| enu| eip| ndk| fjr| yls| euc| jpo|