情報処理安全確保支援士を勉強中
28年春の午後I問題でXSSに関する問題が出題され、
興味深かったので、真似て実践してみた
■概要
問題の内容としてはあるWebアプリケーションに
XSSの脆弱性が含まれていて、その影響だったりを回答するというもの
問題文の中には脆弱なソースコードと
攻撃に使われるスクリプトの例が載っていた
それを使用してみる
Javaはできんから、以前に作った脆弱なPHPログインサイトで試してみる
■わかったこと
・XSSの影響は警告を表示させたりCookieを窃取するだけではなかった
・javascriptを使ってページの書き換えも可能なので、
偽の入力フォームを表示させ、入力内容を攻撃者に入力させることが可能
・javascriptのframeを使うことで、偽のURLページをユーザにアクセスさせて
例えばログイン状態でのみ表示されるような情報ですらも
frameの内容が取得されることで、同時にユーザ情報も取得される
・Webブラウザには「Same Origin Plicy」という、異なるドメインの
Webサイトにはリクエストを送らないようにする仕組みがある
ただ、今回の実践では違いを確認することはできなかった
今日は寝る前に軽く始めたつもりだったので、あまり踏み込んだ内容までは
実践できなかった
だからメモ書き程度で
もう少しじかんあるときにこのあたり本格的に実践できたらいいな
セスペの午後問題はほんとうに実践的でやりごたえがある
