コミュ障だから明日が僕らをよんだって返事もろくにしなかった

何かを創る人に憧れたからブログをはじめたんだと思うよ

セルフインジェクション

情報セキュリティ
セルフインジェクションでなんかこうあれなことをしよう。

はい、おはようございます。僕です。今日もろくでもないことやっていきます。生きているとどん詰まりが続いて自暴自棄になってくるんですよ。大変ですね。


でな。
ja-jp.facebook.com

なんかなFacebookのログイン画面を開発ツールで眺めてたらこういったメッセージ表示されるんよ。

なんだこれはと思い調べてみるとこういったことらしい。
en.wikipedia.org

セルフXSS(Self Cross-site Scripting)とは、被害者のウェブアカウントを操作するために用いられるソーシャルエンジニアリング攻撃の一種です。Self-XSS攻撃では、攻撃の被害者が無意識のうちに自分のウェブブラウザで悪意のあるコードを実行するため、個人情報が攻撃者にさらされる。これは、クロスサイトスクリプティングとして知られる脆弱性の一種である。

概要

ブラウザのWeb開発者コンソールに表示されるSelf-XSSの攻撃警告
通常、攻撃者は、特定のコードをコピーして実行することで、仮想的な報酬を受け取ったり、ウェブサイトをハッキングしたりすることができるというメッセージを投稿します。実際には、このコードによって、攻撃者は被害者のアカウントを乗っ取ることができるのです。

こういうことらしいです。つまり「開発ツール開いてこういうのコピペして実行してね」みたいなヤバいコードのことを言うらしい。へー、世の中にはそんな悪用をする人もいるんだね。




へえ………。じゃあ、僕はこういった入力したユーザー名とパスワードを表示させる邪悪なスクリプトを書き残しておきますね。悪用はダメですよ。

alert(document.querySelector("#email").value+" "+document.querySelector("#pass").value)

邪悪と言いつつもこれ単体だったら自動化ツールで値を取得したいときに利用とかの言い訳ができるのでまだ大丈夫だと思う。偽サイトにリダイレクトさせるコードだったり、入力したデータを他のサイトに飛ばしたりするようにカスタマイズしたらアウトになってしまうかもね。まあ、僕はそんなことできないので安心してください(不安)。


おわり

[トップへ]