Chrome Developer ToolsのコンソールでSelf-XSS防止Self-XSS (prevention with Console in Chrome Developer Tools)

まず、Googleのあるサイトが実施しているSelf-XSS防止の実例を示します。 I want you to look at a case study that a Google's site prevent Self-XSS.

rai-jp

~2 min read · August 29, 2020 (Updated: December 15, 2021) · Free: Yes

実例 (Case study)

そうです。Consoleに警告を表示する！です。 Yes. They just warn on the console.

以上です。 That's all.

Self-XSSの問題とは？ (What's the impact for Self-XSS?)

Developer ToolsのConsoleではJavaScriptを直接実行できるため、もし被害者が攻撃者に誘導され悪意あるコードを直接実行した場合はCSRF TokenやSession IDなどが攻撃者に盗まれ最終的にアカウントが乗っ取られる可能性があります。他にもJavaScriptが実行できるのでいろいろとできるかもしれません。

Console以外でのSelf-XSSの実行方法 (How to execute Self-XSS except the console?)

Self-XSSに関しては他にもアドレスバーにjavascript:alert(1);などを入力するやExtensionsなどで実行することが可能です。

結論 (Conclusion)

本記事の対応によって気持ち程度Self-XSSのセキュリティリスクは軽減されます。