- 締切済み
JavaScriptインジェクションアタックとはなんですか?
無料レンタルサーバーで趣味のWebサイトを持っています。 急にサイトの表示が遅くなったのでソースを調べたら、書き込んだ覚えのないJavaScriptが全部のページに書かれており、びっくりしてローカルのファイルをアップロードしなおしたら直りました。 別の掲示板で質問し、クロスサイトスクリプティング?か、JavaScriptインジェクションアタックでは?と言われましたが、どうしてこうなったのかが分からず、また具体的にどのような被害があるものなのかがよく分かりません。 HTMLを独学で多少勉強した程度で、JavaScriptは全くの素人ですが、二度と起こさないために対策を取りたいので、教えていただけたらありがたいです。 よろしくお願いいたします。
- zzzccc
- お礼率25% (1/4)
- JavaScript
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
おそらく掲示板とか何かのコメントとか、不特定多数の人間が投稿できるページがあるのだろう。それのセキュリティがしっかりしてなかったということだろう。 SQLインジェクションというのは、SQLで本来エスケープ処理しなければならない記号類をそのままデータベースに送信するようなセキュリティの甘いサイトで、SQLのクエリー改ざんを意図するデータを送信することで、本来取得されないデータベースの情報が取り出せるようにする攻撃。 クロスサイトスクリプティングというのは、JavaScriptのスクリプトを使い、そのサイトのクッキー情報を他のところに転送する処理を投稿し、誰かがそのページにアクセスした瞬間にその人間のアクセス情報を盗み取るようにする攻撃。 いずれも、送信されたテキストをそのままデータとして保存している場合に起こる。これは、データを取り出し表示する際に「サニタイズ」と呼ばれる無効化処理を行うことで対処できる。したがって、どのようにしてデータを保存したり取り出したりしているか(どんな言語を使っているか、どういう処理をしているか)によって対策は異なる。そのへんの情報がないとなんともいいようがない。 もし、自分は全く知らない、レンタルサーバーにある機能をただ使ってるだけ、ということなら、そのサイトの管理者に問い合わせてみたほうがいいと思う。
関連するQ&A
- 自サイトに勝手にjavascriptが埋め込まれてしまいます
別のカテゴリで質問しましたが、思うように回答が付かなかったので再度質問させてください。 無料レンタルサーバーで趣味のWebサイトを持っています。 急にサイトの表示が遅くなったのでソースを調べたら、書き込んだ覚えのないJavaScriptが全部のページに書かれており(広告ではありません)びっくりしてローカルのファイルをアップロードしなおしたら直りました。 が、今日、再び同じようなjavascriptが書き込まれていました…。 別の掲示板で質問し、クロスサイトスクリプティング?か、JavaScriptインジェクションアタックでは?と言われましたが、どうしてこうなったのかが分からず、また具体的にどのような被害があるものなのかがよく分かりません。 HTMLを独学で少々勉強した程度の素人ですが、二度と起こさないために対策を取りたいので、教えていただけたらありがたいです。 よろしくお願いいたします。
- 締切済み
- ネットトラブル
- PERLでXSSやSQLインジェクションを防ぐためのCPANライブラリ
Perlで、SQLiteからデータを取ってきてブラウザへJSONを返したりするwebアプリを書いています。 クロスサイトスクリプティングやSQLインジェクションを防ぐためにうまくエスケープしてくれるようなcpanライブラリありましたら教えてください!
- ベストアンサー
- Perl
- Webサイト改ざんについて
Webサイト改ざんについて 先日趣味で公開しているWebサイトに、明らかに入力した覚えのないJavascriptが埋め込まれてました。 公開しているサイトはHtmlで、入力フォーム等も無いためクロスサイトスクリプティングといわれるものではないと思うのですが、これはどういったものの被害を受けたのでしょうか? これに関してFTPアクセス履歴を参照したところ、あり得ない日時でのアクセスか見つかりました。 一応いろいろ調べてFTPパスの変更とftpaccessでのアクセス制限というものを施しましたが… この被害の正体と、今後の対策を知りたいと思います。 何卒よろしくお願い申し上げます
- ベストアンサー
- ウィルス・マルウェア
- SQLインジェクション及びクロスサイトスクリプティング対策について
MYSQLとPHPの掲示板があったのでどちらで質問させて頂こうか悩んだのですが、こちらの方に書き込みさせて頂きます。 現在、PHPとMYSQLを用いたプログラミングの勉強をしています。 そこで一つ疑問に感じた事がありましたので、お尋ねしたく投稿させて頂きます。 PEARなどを使わずに、平でSQL文を発行して表示しているのですが… SQLインジェクション対策・クロスサイトスクリプティング対策として以下の4つに気を付けています。 1. 文字コードはUTF8を使用 2. マジッククォートは基本的にオフ。オンの場合はスクリプト中でstripslashesを実行 3. 2のマジッククォート対策のあとにデータのインサート時に全ての挿入文字列にmysql_real_escape_stringを実行 4. データの出力時にhtmlspecialcharsを実行 以上の対策でSQLインジェクション対策及びクロスサイトスクリプティングについては十分でしょうか? コードも出さずに漠然とした質問なので返答しづらいかもしれませんが、幅広くご意見を頂けましたら助かります。 よろしくお願いします。 ※幅広くご意見頂きたいと思っておりますので記事の終了やお礼が遅くなってしまったらすみませんm(_ _)m
- ベストアンサー
- PHP
- JavaScriptで表示した文字の文字化け
よその掲示板を自分のサイトで部分的に表示するJavaScriptなのですが、文字化けしてしまいます。 <script language="JavaScript" src="http://×××.js"></script> というタグで、利用するJavaScriptはその掲示板のサイトで作成してアップロードされているものです。 私のサイトのHTMLは、今回HTML5で作ってみました。 文字のエンコーディングはこんな感じにしています。 <!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> 文字化けを修正する方法のご指導よろしくお願いします。
- ベストアンサー
- JavaScript
- JavaScriptでUpload
社内ウェブサイトです。ローカル上にあるファイルを指定のファイルサーバへアップロードさせたいのですが、JavaScriptで可能ですか?(または他の方法はありますか?) すいません、当方、HTMLの知識はありますが、JavaScriptは既存の物に手を加えてカスタマイズする知識ほどしかありません。 よろしくお願い致します。
- ベストアンサー
- JavaScript
- Javascript、Perlの知識とは
アルバイトでWebサイト作成をしています。 元々HTMLや画像加工などは独学で覚え、Webデザインできるようになりましたが、もっと高度な仕事となると、JavascriptやPerlの知識があったほうがいいと言われました。現在は、JavascriptもPerlもフリーのプログラム配布サイトのものをお借りして設置する程度のことしかできません。 参考書も買ったのですが、本を見てタグを暗記しただけでどんどんできるようになるHTMLと違って、JavascriptやPerlはプログラムが難しくて、どこがゴールなのかわからず、勉強方法に困っています。 説明が難しいのですが、例えば、HTMLなら「文字に色がつけられる」「文字の大きさが変えられる」など、やることが少ないですが、JavascriptやPerlの場合、何をできるようになったら「Javascriptができる」「Perlができる」というレベルになれるのでしょうか?そういうのは本やサイトを見て独学でできるようになるのでしょうか?
- 締切済み
- CSS
- JavaScriptのあるHPをブロックしてくれない…
JavaScriptのあるHPに行くと今までは 「セキュリティ保護のため、コンピューターにアクセスできるアクティブコンテンツは表示されないよう…」 というバーが出てきて 許可しなければJavaScriptが動くことは無い状態でしたが 最近はなぜかブロックしない状態になってしまいました また、これはURL指定のアップロードしたHPの場合です ローカルにあるHTMLですと正常にブロックします なぜローカルではブロックされるのに アップするとブロックされないのでしょうか??
- ベストアンサー
- JavaScript
- JavaScriptだけで画像アップロードし、表示
JavaScriptだけで画像アップロードし(実際に受け取り)、画面に表示させたいのですが、可能でしょうか? ※JavaScriptしか使えないレンタルサーバでの利用を想定しています 下記を試してみたのですが、うまくいきませんでした ▽【HTML5】File APIを使って、投稿された画像を即時表示する方法【小ネタ】 : アシアルブログ http://blog.asial.co.jp/1079 ※画像は表示されるのですが、画像ファイルはアップロードされていない(もしくは受け取ることが出来ない) ■質問1 ・画像ファイルパスが、<img src="data:image/jpeg;base64,/9j/4AAQS になるのですが、これは、tmpみたいな場所にアップロードされている、ということなのでしょうか?(FTPで見ても、どこにアップロードされているか確認できませんでした) ■質問2 ・アップロードされたファイルを受け取るための処理は、サーバサイドでしか出来ないということでしょうか? つまり、JavaScript単独だと、画像をアップロードできても、受け取ることが出来ないので、意味がない?
- ベストアンサー
- AJAX
お礼
お答えくださりありがとうございます。 自サイトに掲示板等、不特定多数の人間が投稿できるページはありません。 日記として使っているブログにリンクはしていますが…もしかしてそこでしょうか? ブログ自体には不審なjavascriptは書き込まれていませんでしたが… それと、もうひとつ私が管理している別のサイトがあるのですが(URLは違いますが、同じ無料レンタルサーバーを利用しています)そちらにも同じ現象が見られました。 私の管理しているサイトが両方やられている、というのは、何らかの方法で私の情報を盗み、管理するサイトにアクセスしてjavascriptを埋め込んだ、という事でしょうか? 同じレンタルサーバーを借りている友人のサイトにはないのに、私の管理しているサイトふたつが偶然に対象になったというのは考えづらいと思うのですが… 度々で申し訳ありません。ご教授願えたら助かります。