本文介绍了XSS攻击的基本原理及其实施步骤。XSS攻击主要针对动态生成HTML页面的应用程序,通过恶意脚本注入来获取用户的敏感信息。文章还讨论了如何通过巧妙的设计让用户无意中触发攻击。
1、XSSの仕組み
前置きが長くなってしまったが、XSSの仕組みについて説明する。XSSを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になる。静的なページ、つまり通常のHTMLページではこの問題は起こらない。
2、XSS攻撃の流れ
a, ユーザーが攻撃者の用意したページにアクセスする
b, リンクを含んだページがブラウザに表示される
c, ユーザーがリンクをクリックする
d, ユーザーが(無意識のうちに)攻撃対象のサイトにスクリプトを含んでアクセスする
e, スクリプトを含んだページがブラウザに表示される
f, ユーザーのブラウザ上でスクリプトが実行される
3、目的
ユーザもらった情報は 脆弱サイトからみたいですけど、 攻撃者サイトからです。
4、特徴
これが最も基本的な場合のステップであるが、ほかにもさまざまなバリエーションがある。このステップで一番ネックになりそうなのが1 と3 で、ユーザーが何らかの操作をしなければならないようになっている。しかし、攻撃者は巧妙な仕掛けで無意識のうちにユーザーが1 と3 の動作をしてしまうような仕組みを作るだろう。
例えば、ユーザーがリンクをクリックするのを待つのではなく、自動的に次のページへ飛ぶような方法がある。「このページは移動しまし た。○○秒後に自動的に移動します」といったページを見掛けることがよくあるが、原理はそれと同じである。このようなページを作成しておけば、3 のステップをユーザーが無意識のうちに行わせてしまうことができる。
参照サイト:http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
