クロスサイトスクリプティングについての質問です。

すみません、アドレス間違ってました。正しくは
http://hamachiya.com/junk/ipaxss.html
です。

1/の方の回答は、質問文が『xssに関してはあまり詳しくないです』という言葉で締めくくられているという点を考慮しての事だと思いますので『xssの一般概念ではなく』という矛盾する言葉が返されるとは思いもよらなかったのではないかと思いますよ。

それにしても、『動的に生成されるHTMLページをチェックしよう』と言っているページを回答に盛り込むあたりはブラックユーモアですよね。

>>kn1967さん
なるほど。言葉足らずだったかもしれません。「XSSは何か」程度はおぼろげに分かっているけれど、具体例をなかなか目にする事ができずにいたので、今回はまちやさんの脆弱性指摘を機会に「実際どんな仕組みになっていて、どう危険なのか」を質問したいと思いました。しかし質問する事によって（一時的にせよ）被害がよけいに拡大してしまう可能性もあるんだなぁという事を、今回は学びました。具体例を目にする機会が少ないのはそのせいもあるんでしょうかね。

＞上のサイトを閲覧するたびにIPA宛に参加申し込みメールが行ってる

私は通常からスクリプトは切ってあるので動作の確認までは行っていませんが、それなりの負荷が少なからず掛かっている事には違いないですね。

ちなみに、フォーム＝メールとは限りませんよ。それは宛て先がメールアドレスの場合だけです。今回の場合はCGIプログラムが宛て先になります。

あと、、、注意しておかなければならないことはIPAにアクセスしたことによってIPA側にアクセス元（貴殿）のIPアドレスやブラウザの種類などの基本情報が残るという事です。これはipaxss.htmlにアクセスした事でも同じ事です。
セキュリティに関して詳しく無いのだと思いますが、相手に迷惑をかけるのは勿論の事、自身にも災厄が降りかかるような地雷がネット上には沢山ありますので、あまり興味本位で歩き回らないことをまずは願います。

＞具体例を目にする機会が少ない

ある程度スキルが付いてくれば、具体例を示すまでもなく理論だけで理解できるようになりますし、かりに実験を行う場合でも自前で用意して行います。
それを公開実験のようにしている人の気持ちは私には理解できません。

>>kn1967さん
ありがとうございます。ただアクセスしてIPが残ることそのものは危険であるとは思いませんが、いかがでしょうか。今回のipaxss.html自体もはてなブックマークの注目リストに上がっていますよね。もちろん、今までの経験からはまちやさん関係はなるべくリンクを踏まないに越したことはないと思いますし、kn1967さんのようにjavascriptを切っておく方がいいとは思いますが。

＞IPが残ること

今回の件では問題無いと思います。
速反撃に出る（攻撃元のIPアドレスに対してプローブを発して攻撃口を探り、そして攻撃・侵入してくる。。。。）ような仕組みも造るのは簡単なので注意が必要という事だけ記憶しておいてください。

地雷を踏んでしまって攻撃を受けても、ファイアウォールソフトの導入やルータの設置などで防ぐ事が出来ますので、そういった備えも常日頃から必要ということは言うまでもないですよね。


興味本位で歩き回ると危険ではありますが、あまり怖がっていては何も出来なくなってしまいますので、備えだけはしっかりと確認するようにだけしてください。

了解です。ありがとうございました。