|
クロスサイトスクリプティング()とは、ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいう。また経緯上、それを許してしまう脆弱性についても、このように呼ばれている。 略記として、CSSおよびXSSがある。CSSは同分野でよく使用されるCascading Style Sheetsの略語と同じになってしまうため、混同を避けるためにXSSと表記されることが多くなった。 ==概要== 典型的には、攻撃者が攻略対象となるウェブサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行させるので、「クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)」と呼ばれる。 ウェブアプリケーションが入力したデータ(フォーム入力など)を適切にエスケープしないままHTML中に出力することにより、入力中に存在するタグ等文字がそのままHTMLとして解釈される。ここでスクリプトを起動させることにより、以下に挙げるような攻撃が成立する。 * クッキーの値を取得あるいは設定することにより、セッションハイジャックする。 * 強制的なページ遷移を起こさせ、クロスサイトリクエストフォージェリ対策を回避する。取得したクッキーを攻撃者側でそのまま利用できない場合に用いられる手法。 * CSSのインポート機能を利用して不正なファイルをロードさせる。 * ページ全体を置き換えることにより、偽のページを作り出す。典型的にはフィッシングに用いられる。 * フォームの送信先を置換することにより、入力を第三者サイトに送信するよう仕向ける。 これらの攻撃が成立することにより、秘密情報の窃取や、回復不可能な権利侵害につながるおそれがある。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「クロスサイトスクリプティング」の詳細全文を読む 英語版ウィキペディアに対照対訳語「 Cross-site scripting 」があります。 スポンサード リンク
|