まったり技術ブログ

主にWebエンジニア向けのセキュリティブログ。たまに開発も

2018-03-03から1日間の記事一覧

【セキュリティ】XSSI(Cross-Site Script Inclusion)攻撃とは

はじめに 攻撃名からの勝手な予想(※誤り) 結局何ができるのか Same-Origin Policyを確認 XSSIは結局何ができるのか 脆弱性が存在するサイト(bank.example.jp) トップページ(index.php) シークレットコードを生成し、JSONPを活用(userdata.php) 攻撃者…