javascript実行がブロックされてします

本に書かれたとおりにXSSフィルターを無効にしても、javascriptはブロックされたままです。

徳丸本で、仮想環境で攻撃コードを試しています。
攻撃コードは、iframeに脆弱なページがあり、セッションIDを盗むというものです。
ie11でインターネットオプションからセキュリティー、レベルのカスタマイズ、XSSフィルターを無効にする、
とやっても、iframeで張り付けた脆弱なページはこのページは表示できませんと表示しております。
どうしたらセッションIDを盗むjavascriptが実行されるでしょうか？

行動規範の内容に同意します

回答2件

あなたが（再現させたいだけで）実際に攻撃を行いたいのでなければ、攻撃が成立しないのならそれでいいのではないかと考えます。

（もはや次バージョンが出ないIEを除けば）ブラウザは日々進化していますので、既存の攻撃に対する耐性も順次強化されています。「権限の違うiframe内ページから親フレームにJavaScriptアクセスできてしまう」というのはまさしく脆弱性ですので、塞がれて当然です。

投稿2017/05/06 07:50

maisumakun

総合スコア145184

reotantan

2017/05/06 08:54

実際に攻撃を見たい（勉強として）ので、質問させていただきました。参考書は仮想環境で実際に攻撃コードを動かすというもので、XSSフィルターを無効にすれば実行されるとありました。しかし書かれた年が何年か前であり、internet exploer 8がローカル環境で使われていることから、現在のie11では、参考書に書かれた動作が実現できないみたいですね