menu
ホーム > IT用語集 > XSS(クロスサイトスクリプティング) | IT用語
UPDATE:2017年09月18日

XSS(クロスサイトスクリプティング) | IT用語

IT用語辞典

  • クロスサイトスクリプティングはWebアプリケーションの脆弱性を狙い訪問者のWebブラウザに悪意のあるコードを表示させる攻撃手法

クロスサイトスクリプティングとは、【XSS:Cross Site Scripting】の略称で、Webアプリケーションの脆弱性を狙い、訪問者のWebブラウザに悪意のあるコードを表示させる攻撃手法です。

掲示板などを例に考えてみましょう。運営者が入力された投稿文を適切な処理をせずにブラウザに表示させていたとしましょう。そこへ悪意のある攻撃者が他のサーバーへ攻撃を仕掛ける危険なJavaScriptコードを投稿したとします。そのコードを含んだ投稿内容が適切な処理をされずそのままブラウザに表示される場合、その掲示板を訪れたユーザーは、投稿された悪意のあるJavaScriptコードを実行させることになり、知らず知らずに他のサーバーを攻撃することになります。

クロスサイトスクリプティングは、投稿などの入力値に HTML や JavaScript などが記述されている場合に、適切なエスケープ処理をしないで表示(出力)してしまうことで発生します。攻撃者は、入力値に悪意のあるJavaScriptなどを記述し、Webアプリケーションのページ内にコードを埋め込みます。その結果、コードを埋め込まれたページを表示した他のユーザーのセッションIDを盗んだり、他のサーバーへ攻撃をさせたりします。

クロスサイトスクリプト攻撃に対する脆弱性は入力を適切にエスケープしないで出力した際に発生します。これは、入力を適切にフィルタし、出力を適切にエスケープすることで回避することが出来ます。


タグ(=記事関連ワード)

タグ:

日付

投稿日:2017年9月15日
最終更新日:2017年09月18日

関連記事

このカテゴリの他のページ

この記事へのコメント

トラックバックurl

http://wepicks.net/itglossary-xss/trackback/

page top