HTMLタグインジェクション
まず、「HTMLタグインジェクション」でGoogle検索してみて下さい。
「HTMLタグインジェクション」ではなく、「HTMLインジェクション」である事が分かります。
HTMLインジェクションとXSS
先述のGoogle検索で下記ページがHITし、次のように書かれています。
ここで、よく耳にする**クロスサイトスクリプティング(以下XSS)**という言葉との関連について確認しておきたい。XSSとは、HTMLインジェクション脆弱性を利用した攻撃手法の一形態である。攻撃者に用意されたスクリプトが、攻撃者のサイトを踏んだユーザーから目的のサイトへ送られるために、スクリプトがサイトをまたがって(クロスして)実行されるという意味でその名が付いている。しかし、スクリプトがサイトをまたがるかどうかは、この脆弱性の性質とは直接関係がない。また、スクリプトがサイトをまたがない形のスクリプトインジェクションや、スクリプトを使わないフレームインジェクションなどは、XSSの定義からは外れてしまう。よって、ここではこの種の脆弱性を総称して、HTMLインジェクションという呼び方をする(図2)。
というわけで、HTMLインジェクションとXSSは別概念です。
HTMLインジェクションの方が広義といえます(下記に訂正文有)。
(2017/07/05 11:41追記)
CWE-79ではインジェクションする言語に Flash, ActiveX を含んでいました。「HTMLインジェクションがXSSの広義」は誤りでしたので訂正致します。
※繰り返しになりますが、「分からない単語でWeb検索する」は調査の基本なので、覚えておくと良いと思います。
対策
IPAが資料を用意しています。
次のページの [エコーバック対策] > [スクリプト注入] を参照して下さい。
Re: super1234 さん
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/05 04:15
2017/07/05 04:40
2017/07/05 04:52