|
 |
|
Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。ユーザーの入力などに応じて動的に生成されるWebページにおいて、特殊なスクリプト・コードを入力すれば、本来は許可されていないような操作を行うことができるというセキュリティ・ホール。これを悪用すると、例えば別のWebサイトへCookie情報を送信させたり、ローカルのコンピュータに格納されている情報をほかのサーバなどへ送信させたりすることができる。スクリプトを使って、もともとのWebサイト以外へも(サイトを越えて)情報を漏えいさせてしまうので、クロスサイト・スクリプティング(攻撃)という。これを防ぐには、ユーザーが入力した文字列から特別な意味を持つ文字やコードを取り除くようにすればよい。これはWebサーバやWebブラウザ・ソフトウェアの問題ではなく、Webサーバ上で実行されているCGIなどの設計ミスに起因するセキュリティ・ホールである。
例えば文字列を検索して、その結果を表示するWebページがあるとする。結果は『文字列「$STRING$」は見つかりませんでした。』と表示するようにCGIプログラムを作成する。ただし「$STRING$」の部分はユーザーが入力した文字列に置き換える。ユーザーの入力が「テスト」だとすると、動的に生成されたHTMLコードは次のようになるだろう。
| <HTML> <BODY> 文字列「テスト」は見つかりませんでした。 </BODY> </HTML> |
しかしユーザーが「<SCRIPT>alert("Hello, world");</SCRIPT>」と入力したとするとこのコードは次のようになってしまい、画面には「Hello, world.」というダイアログが表示される。
| <HTML> <BODY> 文字列「<SCRIPT>alert("Hello, world");</SCRIPT>」は見つかりませんでした。 </BODY> </HTML> |
このように、Webページの入力テキストボックスなどに特別なHTMLコードやスクリプト・コードを指定することにより、さまざまなコードを実行できるようになる。これを悪用すれば、ローカルのマシンに保存されているCookieの値を取得したり(Cookieの内容が漏えいすると、それを使ってWebサーバに登録されているユーザー情報などを取り出せる可能性がある)、ほかのサイトへ誘導したり、ローカルのデータを別のサーバへ送信したりするなど、さまざまな操作が可能になってしまう。
クロスサイト・スクリプティングを防止するには、HTML中で特別な意味を持つ文字をすべてエスケープ処理してから表示するようにすればよい。具体的には、“<”→“<”、“>”→“>”、“&”→“&”などとする。先ほどのページならば、次のようにするべきである。
|
<HTML>
<BODY> 文字列「<SCRIPT>alert("Hello, world");</SCRIPT>」は見つかりませんでした。 </BODY> </HTML> |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
