クロスサイトスクリプティング

投稿日:2007.03.07

クロスサイトスクリプティングとは何か

クロスサイトスクリプティング(別名 XSS)はウェブアプリケーションがユーザーから悪意をもってデータを収集する際に発生します。データは通常、悪意のあるコンテンツを含んだリンクのフォーム内に集められ、ユーザーは大抵の場合他のウェブサイトや掲示板、電子メール、インスタントメッセンジャーからこのリンクをクリックしてしまうものと考えられます。通常、攻撃する側はサイトへのリンクの悪意のある部分をHEX(またはその他の方法で)エンコードしているため、クリックする際にユーザーにはそれが疑わしいものには見えません。データがウェブアプリケーションに集積されると、独自に送信する悪意のあるデータを含んだページをユーザーに向けて作成しますが、ウェブサイトから送られる正しいコンテンツにある程度偽装してあります。



どうやって対策をすればいいでしょうか?

簡単に答えます。ユーザー・インプットを信用せず、常にメタキャラクターにフィルターをかけましょう。これで XSS 攻撃の大半を振り落とすことができます。スクリプトの出力には「<」と「>」を「<」と「>」に置き換えることもお勧めします。XSS セキュリティホールを悪用されれば損害を受けますし、高くつくものになることには留意してください。アタッカーはセキュリティホールを公表することもあります。これによりあなたのサイトがセキュリティやプライバシーの保護といった面で顧客と世間の信頼を損ねることになりかねません。「<」と「>」をフィルタリングするだけでは全てのクロスサイトスクリプティング攻撃への解決となるわけではありません。「(」と「)」も同じく「(」と「)」に変更して出力することをお勧めします。


http://lovemorgue.org/xss.html

PAGE TOP