ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes

テクノロジーカテゴリーの変更を依頼記事元:

blogs.jpcert.or.jp

76 usersがブックマークコメント

コメント

4

記事へのコメント4件

注目コメント
新着コメント

gayou XSS脆弱性悪用の解説

security

2021/07/07 リンク

burnworks ECサイトの管理画面上にXSS脆弱性がある場合、管理者の閲覧操作によって不正なスクリプトが実行され攻撃が成立するっていう話

2021/07/06 リンク

koseki 攻撃者が不正な文字列を含む購入 → 管理者が管理画面を表示 → XSS でスクリプト実行、クレデンシャルを奪われる

2021/07/06 リンク

ockeghem 『なお、この攻撃は、EC-CUBE固有の脆弱性を狙ったものではなく、ECサイトの管理画面上にXSS脆弱性があった場合に影響があるため、EC-CUBEを使用していないECサイトでも攻撃の影響を受ける可能性があります』

2021/07/06 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes

攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購... 攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購入処理を行います（図1の①）。その結果、ECサイトの購入処理の部分にXSSの脆弱性が存在する場合、ECサイトの管理画面を閲覧した管理者は不正なスクリプトが実行され、クレデンシャル情報の窃取や、ECサイトへの簡素WebShellの設置などが行われます（図1の②～④）。その後、攻撃者によってECサイトにWebShellやユーザーの情報窃取を行うJavaScriptなどが設置されます。設置された“情報窃取JavaScript”によってECサイトを利用するユーザーのクレジットカード情報等を窃取され、“情報保存ファイル”としてECサイト内に保存されます（図1の⑤）。攻撃者は定期的なWebShellへのアクセスを行うことでこれらの情報を窃取していたと推測されます（図1の⑥）。なお、攻撃者は、一連の攻撃の

ブックマークしたユーザー

techtech05212024/04/26
karahiyo2022/08/10
evolve-from-a-lower-form2022/07/04
eedamame2021/08/20
somathor2021/07/07
masayoshinym2021/07/07
gayou2021/07/07
an3n2021/07/07
advblog2021/07/07
Hiro_Matsuno2021/07/07
northlight2021/07/07
imyutaro2021/07/07
xyzpda2021/07/07
mty3282021/07/07
unijam2021/07/06
kuyo2021/07/06
westerndog2021/07/06
kkeisuke2021/07/06

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx