hacktricks/pentesting-web/xss-cross-site-scripting/some-same-origin-method-execution.md

# SOME - 同一オリジンメソッドの実行

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ企業**で働いていますか？ **HackTricksで会社を宣伝**したいですか？または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出**してください。

</details>

## 同一オリジンメソッドの実行

ページ内で制限されたJavaScriptを実行できる場合があります。たとえば、実行される[**コールバック値を制御できる場合**](./#javascript-function)です。

その場合、できることの一つは、**DOMにアクセスして**（たとえばボタンをクリックするなど）**そこにある感
<details>
<summary>日本語</summary>

以下は、XSS（クロスサイトスクリプティング）に関するハッキング技術についての内容です。次の内容は、/hive/hacktricks/pentesting-web/xss-cross-site-scripting/some-same-origin-method-execution.md ファイルからのものです。

同一オリジンメソッドの実行
=======================

同一オリジンメソッドの実行（SOME）は、XSSの一種であり、攻撃者が同一オリジンポリシーを回避して、同一オリジンのコンテキストでJavaScriptコードを実行することができる方法です。

攻撃者は、以下の手法を使用してSOMEを実行することができます。

1. フレームの中でのJavaScript実行
2. イベントハンドラの悪用
3. レスポンスの悪用

これらの手法を使用することで、攻撃者は同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。

SOMEの攻撃手法には、以下のようなものがあります。

- フレーム内のJavaScript実行：攻撃者は、フレーム内で実行されるJavaScriptコードを制御することができます。これにより、攻撃者は同一オリジンのコンテキストで任意の操作を行うことができます。
- イベントハンドラの悪用：攻撃者は、イベントハンドラを悪用して、同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。これにより、攻撃者はユーザーの操作を盗聴したり、不正な操作を行ったりすることができます。
- レスポンスの悪用：攻撃者は、サーバーからのレスポンスを悪用して、同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。これにより、攻撃者はユーザーの情報を盗み出したり、不正な操作を行ったりすることができます。

SOMEの攻撃手法を防ぐためには、以下の対策を実施することが重要です。

- 入力データの検証とエスケープ：ユーザーからの入力データを検証し、適切にエスケープすることで、攻撃者が不正なJavaScriptコードを挿入することを防ぐことができます。
- セキュリティヘッダの設定：適切なセキュリティヘッダを設定することで、ブラウザが同一オリジンポリシーを適用し、SOMEの攻撃を防ぐことができます。
- クリックジャッキング対策：クリックジャッキング攻撃を防ぐために、適切なフレームバスティング対策を実施することが重要です。

以上が、SOMEの攻撃手法と対策についての概要です。

</details>
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								# SOME - 同一オリジンメソッドの実行
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
 								<details>
-												update twitter

											
										
										
											2023-04-25 18:35:28 +00:00
+								<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								* **サイバーセキュリティ企業**で働いていますか？ **HackTricksで会社を宣伝**したいですか？または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
 								* [**公式のPEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
 								* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
 								* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出**してください。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
 								</details>
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								## 同一オリジンメソッドの実行
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								ページ内で制限されたJavaScriptを実行できる場合があります。たとえば、実行される[**コールバック値を制御できる場合**](./#javascript-function)です。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								その場合、できることの一つは、**DOMにアクセスして**（たとえばボタンをクリックするなど）**そこにある感
 								<details>
 								<summary>日本語</summary>
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								以下は、XSS（クロスサイトスクリプティング）に関するハッキング技術についての内容です。次の内容は、/hive/hacktricks/pentesting-web/xss-cross-site-scripting/some-same-origin-method-execution.md ファイルからのものです。
-												GitBook: [#3277] No subject

											
										
										
											2022-06-23 12:52:13 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								同一オリジンメソッドの実行
 								=======================
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								同一オリジンメソッドの実行（SOME）は、XSSの一種であり、攻撃者が同一オリジンポリシーを回避して、同一オリジンのコンテキストでJavaScriptコードを実行することができる方法です。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								攻撃者は、以下の手法を使用してSOMEを実行することができます。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+. フレームの中でのJavaScript実行
 . イベントハンドラの悪用
 . レスポンスの悪用
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								これらの手法を使用することで、攻撃者は同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								SOMEの攻撃手法には、以下のようなものがあります。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								- フレーム内のJavaScript実行：攻撃者は、フレーム内で実行されるJavaScriptコードを制御することができます。これにより、攻撃者は同一オリジンのコンテキストで任意の操作を行うことができます。
 								- イベントハンドラの悪用：攻撃者は、イベントハンドラを悪用して、同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。これにより、攻撃者はユーザーの操作を盗聴したり、不正な操作を行ったりすることができます。
 								- レスポンスの悪用：攻撃者は、サーバーからのレスポンスを悪用して、同一オリジンのコンテキストで任意のJavaScriptコードを実行することができます。これにより、攻撃者はユーザーの情報を盗み出したり、不正な操作を行ったりすることができます。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								SOMEの攻撃手法を防ぐためには、以下の対策を実施することが重要です。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								- 入力データの検証とエスケープ：ユーザーからの入力データを検証し、適切にエスケープすることで、攻撃者が不正なJavaScriptコードを挿入することを防ぐことができます。
 								- セキュリティヘッダの設定：適切なセキュリティヘッダを設定することで、ブラウザが同一オリジンポリシーを適用し、SOMEの攻撃を防ぐことができます。
 								- クリックジャッキング対策：クリックジャッキング攻撃を防ぐために、適切なフレームバスティング対策を実施することが重要です。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								以上が、SOMEの攻撃手法と対策についての概要です。
-												GitBook: [#3276] No subject

											
										
										
											2022-06-23 12:12:25 +00:00
 								</details>