PostMessage ワイルドカードターゲットオリジンが検出されました
info Web App Scanning プラグイン ID 113837
Language:
概要
PostMessage ワイルドカードターゲットオリジンが検出されました説明
JavaScript に依存する Web アプリケーションは、多くの場合、ページや埋め込み iframe またはポップアップウィンドウなどの「Window」オブジェクト間でオリジン間通信を実行する必要があります。postMessage API により、開発者は、異なる生成元にあるスクリプト間でデータを交換するために、同一生成元ポリシーの制限を回避できます。アプリケーションのニーズに応じて、メッセージがワイルドカードオリジン「*」に送信され、他のオブジェクトがそれを読み取る可能性があります。ただし、postMessage() を通じて送信されたデータがパブリックであることが意図されていない場合、攻撃者がこの問題を利用して、標的の Web アプリケーションから機密データをキャプチャする可能性があります。
ソリューション
postMessage() API を介して送信されたメッセージが、サードパーティによって読み取られることが期待されることを確認します。そうでない場合は、メッセージを受信するターゲットオリジンを指定する必要があります。参考資料
https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
プラグインの詳細
深刻度: Info
ID: 113837
タイプ: remote
ファミリー: Web Applications
公開日: 2023/5/5
更新日: 2023/5/5
スキャン テンプレート: basic, full, pci, scan