[サイバー攻撃大辞典 トップへ]

HTMLコメント情報漏えい


スポンサー リンク

説明


表示される HTML のソースファイルを確認し、コメント文から攻撃のヒントを得る。
HTMLソースはブラウザの機能により簡単に表示が可能。

例:IE11の場合はIEメニューの[表示][ソース]


攻撃例


・ブラウザよりHTML のソースを表示する。
例えば以下のHTMLコメントが見つかったとする。

<!-- このフォームで入力したユーザのデータは /temp/data.csv に一時的に保管されます。 -->

/temp/data.csvに重要なファイルが保管されていることが判明したため、別途 ディレクトリ トラバーサルやSSI インジェクションなどの攻撃を使用し、ファイル取得の可能性が発生する。

(注意)<!-- -->はHTMLの文法でコメントを表します。


対策


エディタなどのgrep機能により、HTMLファイルのコメントすべて確認し、不要な場合は削除する。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917