WebGoatを用いたクロスサイトスクリプティング #03
演習: Phishing with XSS
最後に,WebGoatの「Phishing with XSS」を解きます.「Phishing with XSS」では,どのようにフィッシングが行われるのかを学ぶことができます.
フィッシング(Phishing)とは,金融機関などを騙ったWebサイトやメールによって,そのユーザIDやパスワードなどを入力させ,盗み出そうとする詐欺のことです. (セコムトラストシステムズ BCP用語辞典より引用)
これらのユーザIDやパスワードは「クレデンシャル情報」と呼ばれます.
この問題での目標は,XSSとHTMLの挿入によって,下の3つを達成することです.
- クレデンシャル情報を入力することができるようなHTMLを挿入すること
- クレジデンシャル情報を修正できるようにするためのjavascriptを加えること.
- クレジデンシャル情報を http://localhost/webgoat/catcher?PROPERTY=yes...にポストすること.
考え方