クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱性の一種、またはそれを突く攻撃手法の名称のことだ。
クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱(ぜいじゃく)性の一種、またはそれを突く攻撃手法の名称のことだ。「XSS」という略称が用いられることも多い。
Webアプリケーションのユーザーを標的とする攻撃手法であり、標的ユーザーへのなりすましや、標的ユーザーしか知り得ない情報の漏えいなどにつながることが知られている一方、情報処理推進機構発行の「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況[2016年第2四半期(4月~6月)]」では、Webサイトで発見、報告された脆弱性の過半数がクロスサイトスクリプティングであると報告されているなど、日々多くのWebサイトでクロスサイトスクリプティングが発見されている現状がある。
クロスサイトスクリプティングの多くは、ユーザーから受け取った値(例えば、検索キーワードなど)をWebページ上に表示する処理の不備によって生じる。攻撃者は検索キーワードなどのユーザー入力値に、不正なHTMLタグやJavaScriptのコードなどを埋め込み、脆弱なWebページ上へのアクセス時にそれらのタグやコードが実行される状態にする。その上で、不正なタグやコードを含むWebページへと標的ユーザーを誘導し、標的ユーザーのWebブラウザで不正なタグやコードを実行させることにより、さまざまな不正を行う。
例えば、クロスサイトスクリプティングに対して脆弱な検索フォームでは、下記のようなシナリオが成立し得る。
対策としては、ユーザーから受け取った値をWebページ上に表示する際に、HTMLタグやJavaScriptのコード中において特殊な意味合いを持つ文字(※)を、文字実体参照やUnicodeエスケープシーケンスに変換するエスケープ処理などが有効であると知られている。
※そういった特殊な文字を「メタキャラクタ」と呼ぶ。メタキャラクタの種類やそれらに対応するエスケープ方法は、ユーザー入力値がWebページ上のどこに表示されるかによって異なる。
■フットプリンティング
■ブラウザクラッシャー
■ブルートフォースアタック
【2004/1/1】初版公開。
【2018/2/13】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 鬯ッ�ッ�ス�ッ�ス�ス�ス�ョ�ス�ス�ス�ス�ス�ス�ス�ォ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ェ鬯ッ�ョ�ス�ッ髯具スケ�ス�コ�ス�ス�ス�サ驛「�ァ隰�∞�ス�ス�ス�ス�ス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ッ�ョ�ス�」髯具スケ�ス�ス�ス�ス�ス�ス�ス�ス�ス�オ鬯ョ�ォ�ス�エ驕カ謫セ�ス�オ�ス�ス�ス�コ�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ク�ス�ス�ス�ス�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ケ鬯ョ�ォ�ス�エ鬮ョ諛カ�ス�」�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ッ�ス�ゥ髯晢スキ�ス�「�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ュ鬯ッ�ッ�ス�ゥ髯晢スキ�ス�「�ス�ス�ス�ス�ス�ス�ス�「鬯ョ�ォ�ス�エ鬮ョ諛カ�ス�」�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ッ�ス�ゥ髯晢スキ�ス�「�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー