HOME»情報処理安全確保支援士掲示板»平成25年度秋午後1問1設問2(5)-(7)

情報処理安全確保支援士掲示板

掲示板検索:

[0583]平成25年度秋午後1問1設問2(5)-(7)

XSSを極めたい人さん(No.1)
該当の問について、質問させてください。

A、B、Cのなかで、消去法的にCの脆弱性が図4のソースコードにあると考え、
scriptタグの中身に、注目しています。
なぜ下記の通り26行目を書き換える必要があるのか、
書き換えなかった場合、攻撃者はどのようにして<script>...</script>の中身を
動的に生成する(改ざんする)のか、イメージがつかめておりません。
図3で生成したhtml上で、ユーザがプルダウンで選んだ値がrqLocの認識です。

お手数ですが、ご教示いただけますと幸いです。

<書き換え内容>
out.print("\"" + escapeHTML(rqLoc) + "\"" );

out.print("document.form1.loc.value");

2021.01.06 08:26

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop