アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
それ以外にも、ページの改変を出来ます。
昔、Officeさんが首相官邸のXSS脆弱性を利用した 首相コメント(偽)を見れるものを公開してました・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
>「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりに
>フォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
>更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて
>「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。
それ以外にも、ページの改変を出来ます。
昔、Officeさんが首相官邸のXSS脆弱性を利用した
首相コメント(偽)を見れる
Re:XSSで引き起こされる被害 (スコア:-1, フレームのもと)
最初から手打ちでURL入れて改竄されたページが表示されるわけじゃない。 まぁ、彼は犯罪者だからね。
彼がやってるのは、賽銭箱から10円取って「ほ~ら賽銭箱は脆弱性があるでしょ」って言ってるだけ。
10円でも賽銭箱の中身全部でも賽銭泥棒は賽銭泥棒
誰でも簡単に取れるからと言って賽銭盗むのは賽銭箱を置いてる人の責任じゃなくて、賽銭盗んだヤツが悪いって言うでしょ?
たとえ誰も気にしてない賽銭箱の脆弱性を知らせるために10円盗んだんだって言ってもそれは許される事じゃない。
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
たとえそれがより大きな犯罪を防ぐためであっても、犯罪をやっちゃえばやっぱり犯罪者。意図がどうあれ。
Re:XSSで引き起こされる被害 (スコア:0)