GETメソッドのみに適用できる方法
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)
「クロスサイトスクリプティング」の記事における「GETメソッドのみに適用できる方法」の解説
GETメソッドでは変数の値がURLに明記されるので、フォームの内容をユーザに再確認させるページのURLは http://example.com/?gender=(フォームで入力した値) のような形になっている。 そこで攻撃者は被害者となるユーザに以下のURLにアクセスするよう何らかの方法(たとえばexample.comを装った罠メールにこのURLを記載)で促す: http://example.com/?gender= するとgenderが悪意のあるスクリプトにセットされたページを被害者が閲覧することになるので、攻撃が成功したことになる。 ここで重要なのは、上記のURLが「http://example.com/」から始まる事である。これが原因でユーザはexample.comの何ら問題のないWebページだと誤解してしまい、上記のURLをクリックしてしまう可能性がある。 なお、ここでは悪意のあるスクリプトを標的サイトのURLに埋め込む方法を紹介したが、URLの長さには上限がある関係上、埋め込めるスクリプトの長さが制限されてしまうため、攻撃者が行える攻撃の種類が制限されてしまう。 長さに制限のないスクリプトを埋め込むには、攻撃者は自分のサイトを立ち上げ、そこに悪意のあるスクリプト「http://(攻撃者のサイト上の悪意のあるスクリプト)」をおいた上で、被害者に http://example.com/?gender= を閲覧させればよい。 ただしこちらの攻撃の場合、攻撃者のサイトのURLがウェブサーバのログに残るため、これを手がかりにサーバ管理者が攻撃者を特定できる可能性がある。したがって攻撃者は自身のサイトの場所を頻繁に変えるなど追跡の手を逃れる手段を講じる必要がある。
※この「GETメソッドのみに適用できる方法」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「GETメソッドのみに適用できる方法」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。
- GETメソッドのみに適用できる方法のページへのリンク
