HOME»情報処理安全確保支援士掲示板»平成25年度秋午後1問1設問2(5)-(7)
投稿する
平成25年度秋午後1問1設問2(5)-(7) [0582]
XSSを極めたい人さん(No.1)
該当の問について、質問させてください。
②、③、④のなかで、消去法的に④の脆弱性が図4のソースコードにあると考え、
scriptタグの中身に、注目しています。
なぜ下記の通り26行目を書き換える必要があるのか、
書き換えなかった場合、攻撃者はどのようにして<script>...</script>の中身を
動的に生成する(改ざんする)のか、イメージがつかめておりません。
図3で生成したhtml上で、ユーザがプルダウンで選んだ値がrqLocの認識です。
お手数ですが、ご教示いただけますと幸いです。
<書き換え内容>
out.print("\"" + escapeHTML(rqLoc) + "\"" );
↓
out.print("document.form1.loc.value");
②、③、④のなかで、消去法的に④の脆弱性が図4のソースコードにあると考え、
scriptタグの中身に、注目しています。
なぜ下記の通り26行目を書き換える必要があるのか、
書き換えなかった場合、攻撃者はどのようにして<script>...</script>の中身を
動的に生成する(改ざんする)のか、イメージがつかめておりません。
図3で生成したhtml上で、ユーザがプルダウンで選んだ値がrqLocの認識です。
お手数ですが、ご教示いただけますと幸いです。
<書き換え内容>
out.print("\"" + escapeHTML(rqLoc) + "\"" );
↓
out.print("document.form1.loc.value");
2021.01.06 08:26