クロスサイトスクリプティングとは

クロスサイトスクリプティングとは？

クロスサイトスクリプティングとは、お問い合わせサイト・掲示板・ブログのような、ユーザが入力した内容をWebページに表示するサイトでWebアプリケーションで脆弱性がある場合、悪意のある攻撃者がWebページに不正なスクリプトを挿入し、偽ページの表示などが可能になるサイバー攻撃です。直接的な被害は標的となったサイトではなく、利用しているユーザーに対して及びます。

攻撃方法

攻撃の原因

例えば、入力値が制限されていない、HTMLやJavaScriptなどのスクリプトが入力された場合、その内容をそのまま実行してしまうような脆弱性のあるWebアプリケーションでは。攻撃者はどんな文字でも入力可能となっています。
この結果、攻撃者は投稿内容欄にブラウザ画面で処理可能なコマンドを含む文字列で、他の偽ページに誘導する画面を表示することが可能となります。

攻撃被害の影響

• サイト上に偽ページが表示される　→ フィッシング・情報漏えい
• cookie情報を利用した不正アクセス→　セッション ID 漏洩によるなりすまし、セッションIDへの攻撃

攻撃されないための対策

企業のIT管理者に求められる対策

• エンドポイントへの総合的なセキュリティソフトの導入
• 不正なサイトへの誘導と思われるメールをブロックする
• ネットワーク内部から不正サイトへのアクセスをブロックする

Web管理者

• クロスサイトスクリプティングに対応したWEBアプリケーションを構築する
• WEBサーバやアプリケーションを最新の状態に保つ
• クロスサイトスクリプティングに対するフィルタ機能を持つWAFの導入

ユーザー側に求められる対策

•  ユーザー側に求められる対策
•  最新のブラウザにアップデートする
•  スクリプトの実行設定を無効化する
• セキュリティソフトを導入し、不正なスクリプトをブロックする