クロスサイト・スクリプティングの危険性

クロスサイト・スクリプテインク(XSS)という、Web アプリケーションにおけ
るセキュリティの問題があります。
クロスサイト・ スクリプテイ ングは英語で「Cross Site Scripting」と表記するので「CSS」と表す場合もありますが、「Cascading Style Sheets」の略記も「CSS」となり紛らわしいため、「XSS」と表記されることが一般的です。

このXSSは、たとえば、掲示板のようなWebアプリケーションでは、攻撃者は HTMLやJavaScriptを含んだ投稿を行います。
攻撃者の投稿をそのまま出力してしまうと、入力されたHTMLやJavaScriptがそのまま実行されてしまいます。
直感的に解りやすい例として、HTMLが、そのまま実行されてしまうと制作者が意図したデザインを大きく崩されてしまう危険性があります。
デザインを大きく崩されただけではセキュリティに大きな影響を及ぼすことはありませんが、本当の脅威は JavaScript を用いられた場合です。
攻撃者は主に、下記のようにXSSを用います。
まず、Cookie の値をWebブラウザから取得し、このCookie 内のセッションIDを取得したセッションハイジャックを行います。
さらに、ページをすべて置き換え、フィッシングを行います。
そして、フォームのアクション先を改ざんして、入力値を攻撃者に通知するようにするのです。

Leave a Reply

Your email address will not be published. Required fields are marked *