クロスサイトスクリプティング
クロスサイトスクリプティング(Cross Site Scripting:XSS)は、攻撃者がWebページのフォームにスクリプトを埋め込むと、それを閲覧したユーザーの情報まで漏えいしてしまう攻撃手法である。Webサーバのみならず、そのページを閲覧したクライアントPC双方にサイトをまたいで(Cross Site)被害がおよぶことからクロスサイトスクリプティングと呼ばれる。
具体的には、攻撃者がCGIなど動的にWebページを生成するアプリケーションを持つサーバに用意されたWebページの入力フィールドに悪意のあるスクリプトを埋め込む。ユーザーがWebブラウザを介して、Webページを閲覧すると、スクリプトが自動実行されてしまう(図7)。
図7 サーバとエンドユーザーに被害を与えるクロスサイトスクリプティング
これによって、サーバ側では外部から意図しない動作をさせられたり、迷惑メールの踏み台となるといった被害がもたらされる。また、ユーザーのWebブラウザ側では個人情報やCookieの漏えいによるセッションハイジャック※6、ファイルの破損などの被害が発生する。ユーザーが書き込んだ内容をそのまま表示させるようなWeb上の掲示板でXSSが仕掛けられると、悪意のあるスクリプトが善良な訪問者のWebブラウザに送られてしまう。
※6:セッションハイジャック Webにおけるセッションを攻撃者が奪取することで、ユーザーになりすまし、不正を働くこと。類推しやすいセッションIDを発行するような仕組みになっていると、ハイジャックされやすい。
XSSと同じく、サーバを介して、エンドユーザーが被害を受ける例としては、CSRF(Cross Site Request Forgeries)が挙げられる。CSRFではユーザーがURLをクリックすると、意図に反して、勝手に掲示板に書き込みが行なわれたり、買い物させられてしまう。実際、日本の大手SNSサイトで多発し、問題となった。
IPAによるとWebアプリケーションに対する攻撃の割合は高く、現在報告されている攻撃例の7割がSQLインジェクションとXSSとしている。
(次ページ、「アプリケーション側でのセキュアコーディング」に続く)
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第5回
TECH
メールソフトのセキュリティとメールの認証 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ
