先日、XSSに関するブログを読み、「そもそもXSSって何だっけ?」と思い、色々調べてみたところ、
よくわかるサイトとよくわからないサイトがありました。
そこで、自分の疑問をまとめておきます。
XSSとは?
クロスサイトスクリプティング(XSS)とは、Webサイトへの有名な攻撃(ハッキング)手法になり、簡単にいうと「他人のWebサイトへ、悪意のあるスクリプトを埋め込む」事です。
http://viral-community.com/blog/xss-1835/
だ、そうです。
ためしに書いてみた
簡単な、フォームの値をそのまま出力するページです。
<!DOCTYPE html> <html> <?php if(isset($_REQUEST['in'])): echo "あなたが入力したのは「{$_REQUEST['in']}」だよ!!"; else: ?> 入力してね! <form action="./" method="get"> <input type="input" name="in"> <input type="submit"> </form> <?php endif; ?> </html>
できたページがこちら。
[入力画面]
[結果画面]
非常に簡単ですね。
また、入力した値をそのまま出力しているだけなので、任意のスクリプトが実行できてしまいます。
[入力画面]
[結果画面]