[ホーム] >
[サイバー攻撃大辞典 トップ] > [EVAL インジェクション(eval injection)]
作成日:2020/09/18
EVAL インジェクション(eval injection)
JavaScriptのデーターフォーマットをであるJSON (JavaScript Object Notation)に不正なコードを挿入し想定外の動作を誘導する攻撃手法。
攻撃例
例えばapple(リンゴ)の注文個数が10個であることを以下のとおり記述するとする。
{"Name":"apple","number":10}
この場合、Webシステムにより注文個数を変更入力する場合、numberを alert(1)+10 と入力することにより以下のとおりJavaScriptを挿入することが可能である。
eval('({"Name":"apple","number":""+alert(1)+"10"})');
対策
JSON.parse 関数を使用する。
[ホーム] >
[サイバー攻撃大辞典 トップ] > [EVAL インジェクション(eval injection)]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020