平成25年度秋午後1問1設問2(5)-(7)

XSSを極めたい人さん  
(No.1)
該当の問について、質問させてください。

②、③、④のなかで、消去法的に④の脆弱性が図4のソースコードにあると考え、
scriptタグの中身に、注目しています。
なぜ下記の通り26行目を書き換える必要があるのか、
書き換えなかった場合、攻撃者はどのようにして<script>...</script>の中身を
動的に生成する(改ざんする)のか、イメージがつかめておりません。
図3で生成したhtml上で、ユーザがプルダウンで選んだ値がrqLocの認識です。

お手数ですが、ご教示いただけますと幸いです。

<書き換え内容>
out.print("\"" + escapeHTML(rqLoc) + "\"" );

out.print("document.form1.loc.value");

2021.01.06 08:26

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop