1、XSSの仕組み
前置きが長くなってしまったが、XSSの仕組みについて説明する。XSSを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になる。静的なページ、つまり通常のHTMLページではこの問題は起こらない。
2、XSS攻撃の流れ
a, ユーザーが攻撃者の用意したページにアクセスする
b, リンクを含んだページがブラウザに表示される
c, ユーザーがリンクをクリックする
d, ユーザーが(無意識のうちに)攻撃対象のサイトにスクリプトを含んでアクセスする
e, スクリプトを含んだページがブラウザに表示される
f, ユーザーのブラウザ上でスクリプトが実行される
3、目的
ユーザもらった情報は
脆弱サイトからみたいですけど、
攻撃者サイトからです。
4、特徴
これが最も基本的な場合のステップであるが、ほかにもさまざまなバリエーションがある。このステップで一番ネックになりそうなのが1
と3
で、ユーザーが何らかの操作をしなければならないようになっている。しかし、攻撃者は巧妙な仕掛けで無意識のうちにユーザーが1
と3
の動作をしてしまうような仕組みを作るだろう。
例えば、ユーザーがリンクをクリックするのを待つのではなく、自動的に次のページへ飛ぶような方法がある。「このページは移動しまし
た。○○秒後に自動的に移動します」といったページを見掛けることがよくあるが、原理はそれと同じである。このようなページを作成しておけば、3
のステップをユーザーが無意識のうちに行わせてしまうことができる。
参照サイト:http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
分享到:
相关推荐
ReactやBabelなど30以上の构成のサンプルを用意しています。 各フォルダーの构成は常に最新を保っているので,安心して参照してください。 连载记事一覧 引进编 ECMAScript 2015+编 スタイルシート编
ご発表いただいた资料はOpenStandiaのWebサイトからリンクを贴らせていただく场合があります。ご了承ください。 MongoDB最初の1歩 を一通り読むと良いと思います。とりあえず手を动かしたい人は,のstep01をやってみ...
框架设计学习资料 连载 连载不断更新框架设计框架设计学习资料 连载 连载不断更新学习资料 连载 连载不断更新
一起来学RT-Thread教程连载:非常有用的RT-Thread教程,有非常详细的讲解,结合指南看更是收获很多。觉得不错不妨评论一下,谢谢!
一起来学RT-Thread教程连载-更新到第20章
星星尘埃里,(连载一)
WCF 项目应用连载[6] - 升级Lig服务 - 设计ILigger 构建一个完善的Lig版本 C#源码 ---------------------------------------- WCF 项目应用连载[1] - 索引 - 轻量级的Log系统 - Lig Sample -序 WCF 项目应用连载[2]...
access罗斯文数据库学习连载 access罗斯文数据库学习连载
陶显芳老师的《开关电源设计技巧》连载一pdf,陶显芳老师的《开关电源设计技巧》连载一.pdf
三相无刷直流电动机分数槽集中绕组槽极数组合规律研究(连载之一).pdf
Geomagicstudio11教程连载一:软件命令熟悉整理.pdf
[新闻文章]新飞库电子书连载系统 [新闻文章]新飞库电子书连载系统
java教程课件,本章节是第一章,以后将陆续连载
zigbee初学到精通的一篇日志连载,粘贴为word格式与大家共享一下
一线万金!电话销售培训大典(连载2).doc
送给初学者的礼物:C++游戏编程起源连载一.pdf
大规模智能交通系统建设的顶层设计(连载一).rar