クロスサイトスクリプティング
読み方:クロスサイトスクリプティング
クロスサイトスクリプティングとは
クロスサイトスクリプティング(XSS)とは、Webサイトを閲覧した際に、悪意のあるスクリプトが被害者のブラウザ上で実行されてしまう脆弱性です。発見された当初、掲示板などに掲載したURLから脆弱性をもつWebサイトへの遷移をトリガーにしていたため、「クロスサイト(サイト横断)」と名付けられました。現在ではクロスサイトスクリプティングの定義が広がり、同じ脆弱性を悪用したWebサイトの閲覧をトリガーとした攻撃も、クロスサイトスクリプティングと呼ばれています。前者をリフレクト型クロススクリプティング、後者をストア型クロススクリプティングと、細かく分類する場合もあります。
この脆弱性を悪用されるとWebページを閲覧した被害者は、個人情報の流出やセッションハイジャックなどさまざまな被害を受ける恐れがあります。
クロススクリプティングの対策
Webページ管理者側の対策
管理するWebページのサニタイジング(スクリプトの無害化)や入力値の制限などの方法で、攻撃者による不正なデータ注入のリスクを低減できます。
また、不正なデータ入力が発生してしまった場合に備えることも必要です。WAF(Web Application Firewall)を導入することで、攻撃を検知した場合にその通信を遮断できます。
閲覧者側の対策
セキュリティソフトの導入だけでなく、不審なURLをクリックしない、ブラウザをアップデートして常に最新の状態に保つなど、閲覧者のセキュリティに関するリテラシーを高めることも効果的です。
クロスサイトスクリプティングの関連
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリとは、正規のWebサイトへのログイン状態を保持したユーザが罠サイトにアクセスしてしまうと、不正なリクエストが勝手に正規のWebサイトに送信される脆弱性です。ユーザの意図しないサービスの退会処理や、パスワード変更、掲示板への書き込み、不正送金、商品購入などの原因になります。クロスサイトスクリプティングとクロスサイトリクエストフォージェリは、脆弱性をもつWebサイトを悪用するという共通点がありますが、攻撃目標や対策方法など多くの点で異なります。
