セキュリティスペシャリスト勉強してたら
「href属性でこんなことできるの???」
ってなったので実際に試して確認した.
問題はH25秋午後I
htmlのhref属性にJavaScriptを挿入するというもの
まずhtmlを適当にかく
<html> <head> <title>うんこ</title> </head> <body> にんじん <a href="javascript:alert(document.title);">リンク</a> </body> </html>
ブラウザはFirefox
実行結果
リンクをクリック
JavaScriptが実行されTitle(うんこ)がアラートで表示される.
URLが動的生成されるサイトで脆弱性になりそうですよね.