PostMessage ワイルドカードイベントリスナーが検出されました
info Web App Scanning プラグイン ID 113851
Language:
概要
PostMessage ワイルドカードイベントリスナーが検出されました説明
JavaScript に依存する Web アプリケーションは、多くの場合、ページや埋め込み iframe またはポップアップウィンドウなどの「Window」オブジェクト間でオリジン間通信を実行する必要があります。postMessage API により、開発者は、異なる生成元にあるスクリプト間でデータを交換するために、同一生成元ポリシーの制限を回避できます。アプリケーションのニーズに応じて、そのロジックの一部で受信したメッセージを使用するために、メッセージイベントリスナーを追加できます。ただし、これらのメッセージで受信したデータが、ページ DOM の構築などに使用される場合、攻撃者はこの問題を利用して、悪意のあるデータを注入し、クロスサイトスクリプティング (XSS) やプロトタイプ汚染などのクライアント側の攻撃を実行する可能性があります。
ソリューション
これがアプリケーションロジックで必要ない場合は、メッセージイベントリスナーを削除するか、メッセージ送信者の生成元が信頼できる許可リストと一致していることを確認します。参考資料
https://blog.yeswehack.com/yeswerhackers/introduction-postmessage-vulnerabilities/
https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
プラグインの詳細
深刻度: Info
ID: 113851
タイプ: remote
ファミリー: Web Applications
公開日: 2023/5/5
更新日: 2023/5/5
スキャン テンプレート: basic, full, pci, scan