Web浸透--53--クライアントリソース処理の脆弱性
1080 ワード
1、脆弱性の説明
クライアントリソース処理脆弱性とは、アプリケーションがユーザによって制御され、リソースパスを指定する入力を受信したときに発生する入力検証脆弱性を指す.具体的には、この脆弱性は、URLがウェブページに存在するリソースにリンクされることを制御する能力を有する.影響は、攻撃者が制御するURL要素のタイプによって異なる場合があります.通常、サイト間スクリプト攻撃方式で行われます.
2、試験方法
このような脆弱性は人工的にテストする必要がある.この脆弱性は、アプリケーションがユーザーが制御するURLを使用して外部/内部リソースを参照する場合に発生します.この場合、表面的には予想される動作が実現されるかもしれないが、実際には悪意のあるオブジェクトが実行される.
次のJavaScriptコードには、攻撃を受けやすいスクリプトが表示されます.攻撃者は、「location.hash」(ソース)の影響プロパティが「src」のスクリプト要素を制御できます.信頼されたWebサイトに外部からのJavaScriptを簡単に注入できるため、XSSが発生します.
クライアントリソース処理脆弱性とは、アプリケーションがユーザによって制御され、リソースパスを指定する入力を受信したときに発生する入力検証脆弱性を指す.具体的には、この脆弱性は、URLがウェブページに存在するリソースにリンクされることを制御する能力を有する.影響は、攻撃者が制御するURL要素のタイプによって異なる場合があります.通常、サイト間スクリプト攻撃方式で行われます.
2、試験方法
このような脆弱性は人工的にテストする必要がある.この脆弱性は、アプリケーションがユーザーが制御するURLを使用して外部/内部リソースを参照する場合に発生します.この場合、表面的には予想される動作が実現されるかもしれないが、実際には悪意のあるオブジェクトが実行される.
次のJavaScriptコードには、攻撃を受けやすいスクリプトが表示されます.攻撃者は、「location.hash」(ソース)の影響プロパティが「src」のスクリプト要素を制御できます.信頼されたWebサイトに外部からのJavaScriptを簡単に注入できるため、XSSが発生します.
<script>
var d=document.createElement("script");
if(location.