質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.36%

  • Ajax

    805questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    364questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ajaxのセキュリティーについて

受付中

回答 2

投稿 2017/12/04 21:57

  • 評価
  • クリップ 0
  • VIEW 67

HiruLow

score 3

jpcertの資料に

ajaxでは、攻撃者の用意した悪意あるwebサイトに<script>属性を使用して秘密情報を含むjsonを読み込ませ、javascriptとして解釈させることによりjson内の秘密情報にアクセスする

とゆう危険性が掲載されていたのですが、具体的な攻撃方法までは乗っていなかったため質問させていただきます。

この危険性についてですが、攻撃者はリクエストの際に、リクエストを受けとるサーバのスクリプトを読み込む処理を組み込むのだと思うのですが
レスポンスに機密情報を含まない場合は、サーバ内で読み取ったデータ、もしくはコードを解析される事は無いのでしょうか?(サーバではエラー処理を表示しないものとする)

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • ockeghem

    2017/12/04 22:22

    JPCERTの資料をURLを教えてください

    キャンセル

回答 2

+2

「レスポンスに機密情報を含まない場合」=もともと誰でも見られるもの、ということなので、わざわざ攻撃する価値はありません。

投稿 2017/12/04 22:05

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/04 22:18

    回答ありがとうございます、解りやすく参考になります。

    キャンセル

+2

攻撃手法を書いた記事として以下があります。タイトルはvbscriptとありますが、vbscript以外の方法も書いています。

JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

基本的にどの方法もブラウザ側で対策がとられているので、過度に心配する必要はありません。以下のレスポンスヘッダを出力することが推奨されますが、この攻撃以外にも広く有効なものです。

X-Content-Type-Options: nosniff

レスポンスに機密情報を含まない場合は、サーバ内で読み取ったデータ、もしくはコードを解析される事は無いのでしょうか?

こちらについては、maisumakunから回答がありますが、機密情報が含まれるか含まれないかは、攻撃の成否とは関係ありません。ただ、機密情報がないと、攻撃する意味がないというだけのことです。

投稿 2017/12/04 23:12

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.36%

関連した質問

  • 受付中

    ページの一部だけ更新したい

    ひとつのファイル(main.php)のある要素(#load)にもう一つのファイル(parts.php)をロードして表示しています。 parts.phpではフォームに入力したものを

  • 受付中

    SeaserフレームワークでAjax通信したい

    現在Seaser、JSPを使ってWEBアプリケーションを開発中です。 WEBページ上のボタンを押下した際、Ajax通信をして登録処理を実装したいのですが、 調査はしたのですが知識が

  • 解決済

    AJAXの簡単な認識確認をさせてください

    AJAXをなんとなく使用していますがいまいち理解ができません。何故皆さんが簡単に理解できるのかも… 本を見たりネット検索で得た知識の認識が正しいのか、または疑問に思った細かな点が

  • 解決済

    javaアプリでのPOSTパラメータをつけたブラウザ起動

    javaアプリケーションからブラウザ(IE、Chromeなど)を起動して指定のwebページを表示させるアプリを作っています。 指定のwebページですがPOSTでパラメータを受け取

  • 解決済

    クライアントjsの変数をサーバサイドjsで取得したい

    前提・実現したいこと 時刻表アプリを実現したい。フロントエンドはjQuery Mobile。サーバサイドはNode.js、DBはmysql。時刻表はHTMLのテーブルで表示し、編

  • 解決済

    Ajax POSTとJSONファイル出力の同時処理について

    Ajax PostとJSONファイル出力を同時に処理したいと思っています。 実現したいことは下記のものです。 ①チェックボックスやセレクトボックスで値を変更→ ②変更され

  • 解決済

    外部のDBから社内のDBへデータを送信したい

    外部のレンタルサーバ内のDBから、社内サーバのDBに自動でデータを送る方法を探しています。 DBはMySQL、言語はPHPです。 VPN等、外から社内へ入れる仕組みはありません

  • 解決済

    APIリクエストして得たJSONをPC画面に表示する方法

    ある機器にAPIリクエストで得たJSONを元に得た数値を手軽にweb画面に表示したいと思っています。 ただしインターネット接続環境はありません。 使用出来る設備は

同じタグがついた質問を見る

  • Ajax

    805questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    364questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。