カテゴリ: 今月のヒヤリ
あけましておめでとうございます。本年もよろしくお願いいたします。
今回のセキュリティブログでは、Webアプリケーションの脆弱性を悪用した攻撃手法の一つ、クロスサイト・スクリプティグ(以下XSSと表記)について紹介します。
XSSとは、脆弱性のあるWebサイトに攻撃者が罠を仕掛けることで、ユーザーが利用中にJavaScriptなどのスクリプトが実行され、情報漏洩やWebサイトの改ざんといった被害をもたらす攻撃です。攻撃者が用意したWebサイトと脆弱性のあるWebサイトを横断して攻撃することから「クロスサイト」と名付けられました。
この攻撃を防ぐためには、Webページを作成する際に、文字列にエスケープ処理をして、攻撃者が悪意あるスクリプトを仕掛けたとしても無害化するなどの対策が必要になります。
代表的なエスケープの例としては、
& を & に
< を < に
> を > に
“ を " に
‘ を ' に
変換するというような感じです。
XSSの対策については、IPA(情報処理推進機構)のサイトでも詳細が記載されています。こちらもぜひ参考にしていただければと思います。
https://www.ipa.go.jp/security/vuln/websecurity.html
XSSについてクイズ形式で勉強ができる「XSSチャレンジ」と呼ばれるWebサイトもいくつかありますので、興味がある方はそちらも是非調べてみてください。