悪意のあるサイトへのアクセス(正規サイト経由なし)でクッキーの読み出し、悪用はされるのか

疑問に思ったので質問させていただきます。

悪意のあるサイトに直接アクセスした場合、Javascriptでクッキーにアクセスして値を取得してしまうということはあり得るという認識でよいのでしょうか？
(悪意のあるサイトなのでJavascriptからのクッキーアクセスは禁止されていないと思うので)

またその場合はクッキーはどのサイトのものかわからないと思いますが(特定の正規サイトを模倣しているとか、経由しているとかではないので)、悪用されてしまうことはありえるのでしょうか(とりあえず有名なサイトを片っ端からプログラム上でログインを試すなど)？

上記だと労力に見合うような成果は少なさそうなので悪意のあるサイトへの直接アクセスの場合はクッキー値を読み出すというよりも、ブラウザの脆弱性(アップデートされていないブラウザを狙った)をついてマルウェアを仕込むなどのほうが多いのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

悪意のあるサイトに直接アクセスした場合、Javascriptでクッキーにアクセスして値を取得してしまうということはあり得るという認識でよいのでしょうか？

できないケースのほうが多いです。

httpOnlyをかけてあって、そもそもJavaScriptから読み出し不能なクッキーの場合
あえてドメイン指定をしない限り、同一ドメインでしかCookieは読み書きできない

投稿2018/07/18 01:08

maisumakun

総合スコア145183

nama-chan

2018/07/18 01:19

返信ありがとうございます。 >httpOnlyをかけてあって、そもそもJavaScriptから読み出し不能なクッキーの場合あえてドメイン指定をしない限り、同一ドメインでしかCookieは読み書きできないそもそも悪意のあるWebアプリケーションのページを表示、悪意のあるサイトなのでクッキーアクセスOKにしてある(上記は悪意がるのでSet-Cookieの値もいじれる)、JavaScriptから読み出し、攻撃者に送信、とできるかなと思ったんですが違うんのでしょうか？

yoorwm

2018/07/18 01:36

それは、自分自身のページのクッキーを読んで送信という事でしょうか？

nama-chan

2018/07/18 01:42

maisumakunさん、oorwmさんすみません！なるほどです！勘違いしていました。そもそもクッキーは他のページへのアクセスしたときのクッキーなので、そのクッキーに対してはクッキーを生成したサイトを表示している時にしか(同一ドメインからしか)アクセスできないので悪意のあるサイトに直接アクセスした場合は当然ドメインが異なるのでその他のクッキーにアクセスできなくて悪用できないとういうことですね！迅速な返信ありがとうございます。助かりました！

行動規範の内容に同意します