- ベストアンサー
XSSという攻撃手法について
こんばんは、お世話になっています。 基本的にXSSは相手に悪質なURLをクリックさせられなければ問題ないと思うのですが、半ば相手に強制的にクリックさせるというか実行させる方法はあるのでしょうか? ご教示お願いします。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
関連するQ&A
- WEBアプリのXSS攻撃について
XSSについて勉強していると、「ユーザがスクリプトを含んだURLをクリックすることで 正規のページからCOOKIEの情報などを盗まれる危険性がある」と出てくるのですが 具体的にはどんなスクリプトによってCOOKIEの情報が盗まれるのでしょうか。 また、この「URLにスクリプトを含む」という方法は値をGETで渡してる場合のみ有効だと思うのですが POSTで渡している場合には、どのようにしてユーザにスクリプトを含んだURLを踏ませるのでしょうか。
- ベストアンサー
- PHP
- XSSを意図的に引き起こしたい
お世話になっています。 今回セキュリティ講座を開くことになり、 XSSについて講義をすることになったのですがちょっと困っているので質問させてください。 PHPを使ってフォームに入力した文字列をそのまま出力する、 というWebアプリを作りたいのですが、 入力に <script>alert("XSS");</script> と入力してもアラートが表示されません。 PHPによって生成されたソースを見てみると、 <script>alert(\"XSS");</script> と¥でエスケープされていました。 受講者に実際にjavascriptが動いてしまうということを実践させたいので、 なんとかalertを動かす方法は無いのでしょうか? よろしくお願いします。 (厳密にはXSSではなくスクリプトインサーションですが^^;) 以下、ソースコードです。(BODY部分のみ抜粋) <form action="test3.php" method="post"> 入力<input type="text" name="str"><br> <input type="submit" name="submit" value="表示"><br> <?php if($_POST['submit']) { $string = $_POST['str']; echo $string; } ?> 実行環境: windows XP wwwサーバ:apache2.2 PHP5.2.8 ブラウザ:firefox3
- ベストアンサー
- ネットワーク
- XSSの新たなタイプとは何というものでしょうか?
以下の文章が出ていました。 ------------------------------------------------------------ クロスサイトスクリプティング(XSS)の基本的な対策が行き届いていないウェブサイトも多く、届出の多さに繋がっている。 中には、ウェブサイトの本来の機能に関する部分では対策が行われつつも、エラーページなどに問題が残る例もある。 加えて2007年は、ファイル形式や文字コードをウェブブラウザに誤認させる方式の、新しい攻撃手法が知られるようになった。 このため、今まで脆弱性がなかったと思われていたウェブサイトにも、脆弱性が生まれてしまうこととなり、対策が必要なウェブサイトが出てきている。 ------------------------------------------------------------ この中の、 「加えて2007年は、ファイル形式や文字コードをウェブブラウザに誤認させる方式の、新しい攻撃手法が知られるようになった。」 という攻撃手法とは何というものでしょうか?
- 締切済み
- ネットワーク
- ブラウザ表示のエラー
たびたびお世話になります。最近、サイトへ接続すると、「ウェッブページに問題があるため、正しく表示または、機能しなくなる可能性があります。」 エラー:開放されたスクリプトからコードを実行できません。 コード;0 URL: クリックした先のアドレス OKをクリックすると、何事もないように閲覧できるのですが、java関係のエラーでしょうか。 なんとなく、気になるので回避、復旧する方法ご存知でしたら、ご教示ください。よろしくお願いします。
- ベストアンサー
- ブラウザ
- CGIの外部リモート攻撃を防ぐ方法
掲示板等のCGIで、実際CGIが実行されているURLにはアクセスしないで、 各項目のinput name等を読み込み、CGIのURLをフルパスで記述して 他のURLから書き込み等を実行してくる族がいます これを防ぐ方法はありますでしょうか?
- ベストアンサー
- CGI
- ハッキング攻撃?
心あたりがないのに、次のようなメールが届きます。放っておいていいでしょうか、成りすましとか、メアドが盗まれそうなんでしょうか? Microsoft アカウント プロファイル情報が変更されました お使いの Microsoft アカウント y*****@hotmail.co.jp の氏名、生年月日、国/地域などのプロフィール情報が変更されました。 お客様がこれを実行した場合は、このメールを無視しても問題ありません。 お客様がこれを実行していない場合、悪意のあるユーザーがお客様のパスワードを使っています。最近のアクティビティをご確認のうえ、手順に従って必要な対策を講じてください。 最近のアクティビティを確認する セキュリティ通知を受け取る場所を変更するには、ここをクリックしてください。 サービスのご利用ありがとうございます。 Microsoft アカウント チーム 最近のアクティビティを確認する前に 次のメールで Microsoft アカウント パスワードが変更されました たった今、Microsoft アカウント y*****@hotmail.co.jp のパスワードが変更されました。 お客様がこれを実行した場合は、このメールを無視しても問題ありません。 お客様がこれを実行していない場合、お使いのアカウントが不正に使われています。以下の手順に従ってください。 パスワードをリセットします。 アカウントの安全性を高める方法をご確認ください。 セキュリティ通知を受け取る場所を変更するには、ここをクリックしてください。 サービスのご利用ありがとうございます。 Microsoft アカウント チーム メアドを変えられてしまったので、最近のアクティビティを確認する」こともできない。何があったのだろうか?
- ベストアンサー
- スパイウェア
- Firefox のAdobeFlashについて
こんにちは いつもお世話になっております。 Firefox で、AdobeFlashを有効にします をクリックすると ○○○(サイトのURL)で AdobeFlash の実行を許可しますか と表示されますが、その表示位置を変える方法はないでしょうか? ご存知でしたら教えてください。 よろしくお願いいたします。
- ベストアンサー
- ブラウザ
- マイクロプロセッサの高速化手法
動作周波数が100MHzのマイクロプロセッサPが、50,000,000命令を実行するベンチマークテストを行ったところ、これらの命令を0.25秒で実行することができた。 マイクロプロセッサPがこのようなCPI値になるのは、どのような高速化手法が適用されているからか、その手法名を述べ、どのような手法が説明せよ。 という問題ですが (1)パイプライン (2)スーパーパイプライン (3)スーパースカラ (4)VLIW (5)マルチプロセッサ のどれかかと考えているのですがどれが答えとして最適かわかりません。 ご教示お願い致します。 またMIP値が200MIP CPI値が0.5 と計算してなりましたが合っていますでしょうか?加えてご確認お願い致します。
- ベストアンサー
- ハードウェア・サーバー
- IEでリンク先がまともに開けません
いつからかは忘れてしまったのですが IEで、クリックすると強制的に「新しいウィンドウで開く」のような状態であるURLなどをクリックすると 「ピー」といううるさい音が流れてリンク先を見ることができません。 なぜかわからないのですが問題なく見れるサイトや、問題なく見れるとき(普段は見れません)が稀にあります。 さらに、F5を押してページ読み込み中にタイミングよくURLをクリックするとなぜか見ることができます。 ブラウザを変えればリンク先を問題無く見れることが確認できたのですが IEは使いやすくてIEでないと見れないページなどによくアクセスするもので、不便に感じております 解決方法ご存知の方、もし宜しければ教えてください
- ベストアンサー
- その他(インターネット・Webサービス)
- 「ファイル名を指定して実行」からURLを指定するとエラーになります
Windowsキー + R で起動する「ファイル名を指定して実行」にURLを 入力して実行するとエラーが発生し、指定したURLが開けなくなりました。 例) "http://www.google.co.jp"を指定して実行した場合。 下記のようなメッセージが表示されます。 「'http://www.google.co.jp' が見つかりません。 名前を正しく入力したかどうかを確認してから、やり直してください。 ファイルを検索するには、 [スタート] ボタンをクリックしてから、 [検索] をクリックしてください。」 もちろん、ブラウザに直接URLを打てば問題はおこりませんが、 ファイルに記述されているURLなどをクリックしても起動しなくなり、 困っております。 セキュリティソフト(ウィルスバスター)を停止しても 効果はありませんでした。 心当たりは、 ・IE7からIE8に変更した。 ・Windows XP ServicePack2からServicePack3にした。 などですが、対応策が分かりません。 どなたか解決策をご存知の方いらっしゃいましたらご教示下さい。 宜しくお願い致します。
- ベストアンサー
- Windows XP
お礼
なるほど、勉強になりました。 回答ありがとうございました。