gologiusの巣

プログラミング、モデリングなどのメモです。誰かの役に立てるとうれしいです。

href属性のメモ

セキュリティスペシャリスト勉強してたら

「href属性でこんなことできるの???」

ってなったので実際に試して確認した.

問題はH25秋午後I

htmlのhref属性にJavaScriptを挿入するというもの


まずhtmlを適当にかく

<html>
        <head>
	<title>うんこ</title>
	</head>
	<body>
	にんじん
	<a href="javascript:alert(document.title);">リンク</a>
	</body>
</html>

ブラウザはFirefox
実行結果
f:id:kamiwo_koete:20150401081329p:plain
リンクをクリック
f:id:kamiwo_koete:20150401081333p:plain

JavaScriptが実行されTitle(うんこ)がアラートで表示される.

URLが動的生成されるサイトで脆弱性になりそうですよね.