[3455] Re: 「CSRFの説明に追記」

記事個別表示 (3455)

これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。

ばけら (2006年3月31日 15時13分)

>>ある意味 XSS よりも危険です。

>そうでしょうか?

>IEにXSSがあればDOMで同じことができるのでXSSの方が含むのでは?

　そうですね。「IEにXSSがあれば」という状況が何を仮定しているかにもよりますが、それがたとえばいかなるゾーンでも攻撃者の任意のスクリプトが動作するという話であれば、その方が危険でしょう。

　ただ、私がいわゆる「CSSXSS」で注意しなければならないと思っているのは、スクリプトがターゲットのサイト上で動作する必要がないという点です。

　たとえば、インターネットゾーンで完全にスクリプトを無効にしていたとしますと、そのサイトに XSS 脆弱性があったとしても、攻撃者が情報を盗み出すことは難しくなります。

　しかし、いわゆる「CSSXSS」では、イントラネットゾーンに悪意あるスクリプトを置いてインターネットゾーンのサイトの情報を引き出すようなことが可能です。

　こういった面があるので、「ある意味」危険と評しています。

これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。
全読: [3450]Re: 「CSRFの説明に追記」からのスレッド(16件)]
- [3450] Re: 「CSRFの説明に追記」 : えむけい (2006年3月31日 3時25分)
  - [3451] Re: 「CSRFの説明に追記」 : A (2006年3月31日 3時55分)
    - [3455] Re: 「CSRFの説明に追記」 : ばけら (2006年3月31日 15時13分)
  - [3452] Re: 「CSRFの説明に追記」 : えむけい (2006年3月31日 4時9分)
    - [3454] Re: 「CSRFの説明に追記」 : ばけら (2006年3月31日 14時23分)
      - [3456] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月1日 13時30分)
        [3459] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時51分)
        [3460] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時52分)
  - [3457] Re: 「CSRFの説明に追記」 : 通りすがりその１ (2006年4月1日 23時25分)
  - [3458] Re: 「CSRFの説明に追記」 : えむけい (2006年4月1日 23時45分)
    - [3463] Re: 「CSRFの説明に追記」 : ばけら (2006年4月3日 11時15分)
  - [3461] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月2日 21時18分)
    - [3462] Re: 「CSRFの説明に追記」 : えむけい (2006年4月3日 2時26分)
      - [3465] Re: 「CSRFの説明に追記」 : スターダスト (2006年4月3日 16時21分)
        [3467] Re: 「CSRFの説明に追記」 : えむけい (2006年4月4日 0時53分)
  - [3464] Re: 「CSRFの説明に追記」 : ばけら (2006年4月3日 11時25分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>>ある意味 XSS よりも危険です。 >>そうでしょうか? >>IEにXSSがあればDOMで同じことができるのでXSSの方が含むのでは? > >　そうですね。「IEにXSSがあれば」という状況が何を仮定しているかにもよりますが、それがたとえばいかなるゾーンでも攻撃者の任意のスクリプトが動作するという話であれば、その方が危険でしょう。 > >　ただ、私がいわゆる「CSSXSS」で注意しなければならないと思っているのは、スクリプトがターゲットのサイト上で動作する必要がないという点です。 >　たとえば、インターネットゾーンで完全にスクリプトを無効にしていたとしますと、そのサイトに XSS 脆弱性があったとしても、攻撃者が情報を盗み出すことは難しくなります。 >　しかし、いわゆる「CSSXSS」では、イントラネットゾーンに悪意あるスクリプトを置いてインターネットゾーンのサイトの情報を引き出すようなことが可能です。 >　こういった面があるので、「ある意味」危険と評しています。