Q&A
こちらのサイトでメールアドレスやパスワードが自動入力できるブックマークレットを作っています。
https://biz.moneyforward.com/session/new
とりあえずこのサイトへ移動して、ブックマークレットに記述した以下のjavascriptを作動させると、
ログインまで上手くいきました。
javascript: document.getElementsByName('sign_in_session_service[email]')[0].value = 'メールアドレス';
document.getElementsByName('sign_in_session_service[password]')[0].value = 'パスワード';
document.getElementsByName('commit')[0].click(); void(0);
ただこれに加えて、そもそもこのサイトへ移動してくる機能も欲しかったため、以下の一文もjavascript:の次に付け加えました。
document.location = "https://biz.moneyforward.com/session/new";
よって、
javascript: document.location = "https://biz.moneyforward.com/session/new";
document.getElementsByName('sign_in_session_service[email]')[0].value = 'メールアドレス';
document.getElementsByName('sign_in_session_service[password]')[0].value = 'パスワード';
document.getElementsByName('commit')[0].click(); void(0);
としましたが、この一文を加えたことにより、サイトへ移動はしてくれますが、そこで止まってしまいました。
メールアドレスとパスワードの自動入力、自動ログインは実行されませんでした。
どうすれば全てのプログラムが動くようになるのでしょうか。
よろしくお願いします。
回答1件
0
ベストアンサー
基本的はできません。
もしできるのであれば、そのサイトはXSS脆弱性を抱えていることになります。
典型的には、攻撃者が攻略対象となるウェブサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させるので、「クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)」と呼ばれる。
ログイン処理をさせるだけなら、javascriptからPOSTリクエストをすることによって可能かもしれません。
が、これができるようだと今度はCSRF脆弱性を抱えているということになります。
具体的な被害としては、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどが挙げられる。また、ルーターや無線LAN等の情報機器のWebインタフェースが攻撃対象となれば、それらの機器の設定を勝手に変更される懸念もある。
このサイトをちょっと触ってみたところ、authenticity_tokenというパラメータでCSRF対策をしているようです。Railsですかね。なので、ログインページを飛ばしてのログインはなかなか難しいかと。
投稿2015/11/25 06:36
総合スコア36104
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/11/25 07:20