[ホーム] >
[サイバー攻撃大辞典 トップ] > [HTMLコメント情報漏えい]
作成日:2020/09/18
HTMLコメント情報漏えい
表示される HTML のソースファイルを確認し、コメント文から攻撃のヒントを得る。
HTMLソースはブラウザの機能により簡単に表示が可能。
例:IE11の場合はIEメニューの[表示][ソース]
攻撃例
・ブラウザよりHTML のソースを表示する。
例えば以下のHTMLコメントが見つかったとする。
<!-- このフォームで入力したユーザのデータは /temp/data.csv に一時的に保管されます。 -->
/temp/data.csvに重要なファイルが保管されていることが判明したため、別途 ディレクトリ トラバーサルやSSI インジェクションなどの攻撃を使用し、ファイル取得の可能性が発生する。
(注意)<!-- -->はHTMLの文法でコメントを表します。
対策
エディタなどのgrep機能により、HTMLファイルのコメントすべて確認し、不要な場合は削除する。
[ホーム] >
[サイバー攻撃大辞典 トップ] > [HTMLコメント情報漏えい]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020