WebGoatを用いたクロスサイトスクリプティング #03

演習: Phishing with XSS

 最後に,WebGoatの「Phishing with XSS」を解きます.「Phishing with XSS」では,どのようにフィッシングが行われるのかを学ぶことができます.

フィッシング(Phishing)とは,金融機関などを騙ったWebサイトやメールによって,そのユーザIDやパスワードなどを入力させ,盗み出そうとする詐欺のことです. (セコムトラストシステムズ BCP用語辞典より引用)

これらのユーザIDやパスワードは「クレデンシャル情報」と呼ばれます.

 この問題での目標は,XSSとHTMLの挿入によって,下の3つを達成することです.

  • クレデンシャル情報を入力することができるようなHTMLを挿入すること
  • クレジデンシャル情報を修正できるようにするためのjavascriptを加えること.
  • クレジデンシャル情報を http://localhost/webgoat/catcher?PROPERTY=yes...にポストすること.

考え方