HTML
 Computer >> コンピューター >  >> プログラミング >> HTML

コンテンツのなりすまし

コンテンツスプーフィングは、悪意のあるプログラマーによる攻撃の種類を定義するために使用される用語であり、テキストインジェクションまたはHTMLインジェクションによって偽のWebサイトを正当なWebサイトとしてユーザーに提示します。 Webアプリケーションが検索などを使用してユーザーから提供されたデータを適切に処理しない場合、攻撃者はそのような状況を利用して、ユーザーが気付かない追加のパラメーターを挿入する可能性があります。これにより、元のWebページと同じように見える別のWebページにアクセスできます。そのページは、機密情報を入力するようにユーザーに求めることができ、公開されると重大な危害をもたらす可能性があります。

注射の2つの基本的なタイプは

です
  • HTMLインジェクション
  • テキストインジェクション

HTMLインジェクション

  • 攻撃者は脆弱なWebアプリケーションを見つけます。
  • 攻撃者は、変更されたURLを何らかの手段で、通常は電子メールを介してユーザーに送信します。 ThisURLにはテキストが挿入されています。
  • URLをクリックすると、ユーザーは攻撃者のWebページに移動し、正当なWebページのように見えます。
  • ユーザーがユーザー名、パスワード、カードピンなどの情報を尋ねました。
  • この情報は攻撃者のサーバーに転送されます。

一部のサイトは、通常はdivタグ内のパラメータとしてURLのhtmlコンテンツも渡します。これにより大きな脆弱性が発生します。

www.testing.com/siteAdcontent?divMessage=

ここをクリック!!

次のように変更できます-

www.testing.com/siteAdcontent?divMessage=

クリックしないでください!!

テキストインジェクション

  • 攻撃者は脆弱なWebアプリケーションを見つけます。
  • 攻撃者は、URLで渡されたパラメータの値を変更します。
  • 不正な形式のページリクエストリンクが攻撃者のサーバーに送信されます。
  • 有効なWebページに、パラメータに従って誤った情報が表示されるようになりました。
  • メッセージがリクエストパラメータを介して渡されたときに発生します。

www.testing.com/loginAction?userName=abc&password=123 として追加できます

www.testing.com/loginAction?errorMessage=PasswordEmpty この新しいURLは、ユーザーを誤ったコンテンツを表示するページに誘導し、ユーザーを不快にさせる可能性があります。


  1. HTMLオンホイールイベント属性

    HTML onwheelイベント属性は、ユーザーがHTMLドキュメントのHTML要素上でマウスのホイールを動かすとトリガーされます。 構文 以下は構文です- <tagname onwheel=”script”>Content</tagname> HTMLオンホイールイベント属性の例を見てみましょう- 例 <!DOCTYPE html> <html> <head> <style>    body {       color: #000;  

  2. MongoDBでのコードインジェクション

    元々は2019年3月5日に公開されました アプリケーション開発者、データベース管理者(DBA)、またはその他の技術者の場合は、コードインジェクションを監視する必要があります。 安全なクラウド環境があります。データベースアクセスがロックダウンされています。しかし、アプリケーションコードはどうですか?より安全であると考えられていますが、いいえ NoSQLiでは、注射できないという意味ではありません。 NoSQLは、他のデータベースコードと同じようにコードインジェクションの影響を受けやすい可能性があります。コードインジェクションを防止しないことは、ドアにセキュリティシステムを設置し、バックウ