[ホーム] > [サイバー攻撃大辞典 トップ] > [EVAL インジェクション(eval injection)]


作成日:2020/09/18

EVAL インジェクション(eval injection)

EVAL インジェクション(eval injection)の説明


JavaScriptのデーターフォーマットをであるJSON (JavaScript Object Notation)に不正なコードを挿入し想定外の動作を誘導する攻撃手法。


攻撃例


例えばapple(リンゴ)の注文個数が10個であることを以下のとおり記述するとする。
{"Name":"apple","number":10}


この場合、Webシステムにより注文個数を変更入力する場合、numberを alert(1)+10 と入力することにより以下のとおりJavaScriptを挿入することが可能である。

eval('({"Name":"apple","number":""+alert(1)+"10"})');



対策


JSON.parse 関数を使用する。







[ホーム] > [サイバー攻撃大辞典 トップ] > [EVAL インジェクション(eval injection)]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2015 - 2020