webサイトを訪れた人が狙われる「クロスサイト・スクリプティング」

スポンサーリンク

疑問

Webサイトをみてるだけならハッキングの心配はないよね?

そんな方への記事です。

結論

Webサイトを見るだけでハッキングされる危険性があります。

それが「クロスサイト・スクリプティング」という手法です。

Javascriptを悪用した攻撃です。

ハッキングの手法を知ることで身を守れるようになります。

「3分ハッキング」という書籍を参考にしながら一緒に学んでいきましょう。

あらすじ

「3分ハッキング」では新入社員の「しょーじ君」がハッキング技術を一から学んでいくストーリーです。

ハッキングツールを入手したり、会社がハッキングされたり、最後には自分が、、、などいろいろな展開があります。

実際に手を動かしながら学べるようにもできています。

わたしも同じ流れで学んでいこうと思います。

本自体は2時間ほどで読みあわるボリュームでした。

ストーリー形式だったので楽しく読めましたよ♪

「しょーじくん」含め、登場人物みんなのIT知識はとても高かったですが(笑

クロスサイト・スクリプティング

クロスサイト・スクリプティングとは

クロスサイト・スクリプティングは「JavaScript」を不正操作します。

JavaScriptはプログラミング言語のひとつです。

JavaScriptを不正操作されると、Webサイトに訪れた人に対して被害が発生します。

準備

VirtualBoxを起動します。

Metasploitable2を起動します。

ユーザー名とパスワードはmsfadminです。

※Metasploitable2のインストール方法

【Linux】Metasploitable2のインストール方法【セキュリティ】
LinuxのMetasploitable2のインストール方法をまとめています。脆弱性をあえて残したセキュリティ学習用のLinuxです。

※VirtualBoxのインストール方法

【Mac版】Kali Linuxのインストール方法(画像付き)
セキュリティ対策を学ぶために、Mac版のKali Linuxインストール方法を画像付きで解説しています。

ifconfigを入力して、inet addr:と書かれた場所からIPアドレスを確認します。

IPアドレスをもとに、ブラウザからhttp://192.168.1.18/mutillidae/を開きます。

※192.168.1.18はifconfigで探したIPアドレスを入力してください。

すると、蟻のロゴと「Mutillidae: Born to be Hacked」の画面が表示されます。

ここにクロスサイト・スクリプティングを仕掛けていきます。

仕掛けることができるか確認します。

http://192.168.1.18/mutillidae/index.php?page=add-to-your-blog.php をブラウザで開いてください。

※192.168.1.18はifconfigで探したIPアドレスを入力してください。

Welcome To The Blogと表示されます。

ブログに記事を投稿するための画面です。

Hello world. を試しに入力してみましょう。

※Hello worldはプログラミング学習でよく使われているサンプル文章です。

Save Blog Entryボタンをクリックしてください。

ちゃんと投稿されたか確認しましょう。

ブラウザで http://192.168.1.18/mutillidae/index.php?page=view-someones-blog.php を開いてください。

※192.168.1.18はifconfigで探したIPアドレスを入力してください。

画面中央のPlease Choose Author からShow Allを選択しView Blog Entriesをクリックしてください。

Hello worldが確認できたらOKです。

実践

「罠」を仕掛けていきます。

もう一度http://192.168.1.18/mutillidae/index.php?page=add-to-your-blog.phpをブラウザで開いてください

※192.168.1.18はifconfigで探したIPアドレスを入力してください。

投稿画面に「<script>alert (“BUCHO”) ;</script>」を入力してください。

Save Blog Entryボタンをクリックしてください。

先ほどと同様に投稿されたか確認しましょう。

http://192.168.1.18/mutillidae/index.php?page=view-someones-blog.php をブラウザで開いてください。

※192.168.1.18はifconfigで探したIPアドレスを入力してください。

画面中央のPlease Choose Author からShow Allを選択しView Blog Entriesをクリックしてください。

ポップアップが表示されました。

理論

なぜポップアップが表示されるのか。

それは投稿内容のせいです。

<script>alert (“BUCHO”) ;</script>はJavascriptの構文で書かれており、文章ではなくプログラムとして認識されてしまったのです。

今回はポップアップが表示されただけでしたが、別のプログラム内容にすれば別の動作をします。
ハッカーの思いのままです。

ブログの設定をよく確認して不正操作されないように気をつけましょう。

アップデートを行って、常に最新のバージョンにしましょう。

まとめ

Webサイトを見るだけでもハッキング被害に襲われます。

Webサイトの管理者はせっかく利用してくれた人に被害が及ばないように、Webサイトのバージョンは常に最新にしておきましょう。

一緒に一歩踏み出しましょう♪

では♪

コメント

タイトルとURLをコピーしました