2010年01月12日 07時30分 UPDATE
特集/連載

情報詐取の常とう手段クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み

XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

[Michael Cobb,TechTarget]

 Webはクロスサイトスクリプティング(XSS)脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。

 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で、Webブラウザとサーバ間のやりとりが大幅に増え、別のサイトのコンテンツをページに取り込むことさえある。この状況では、ユーザーとサービスの間でやりとりされる内容にさまざまな可能性が生じて検証が難しくなり、以前からあるXSSの脆弱性などが、知らないうちにアプリケーションに紛れ込むすきができる。

 サイトがXSS攻撃の被害に遭い続けているのは、大部分が双方向性を求められ、ユーザーのデータの送受信を許しているからだ。これによって攻撃者もまたアプリケーションのプロセスに直接介入できるようになり、正規のアプリケーションリクエストやコマンドに見せかけたデータを、通常のリクエストの手段であるスクリプト、URL、フォームデータなどを通じて受け渡すことが可能になる。アプリケーション層におけるこうした通信は、出来の悪いアプリケーションを利用すれば、従来のような周辺的なセキュリティ対策をかわすことができてしまう。

 2008年の「WhiteHat Security Statistics Report」によると、全Webサイトの90%に少なくとも1件の脆弱性があり、本稿では、XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

関連ホワイトペーパー

XSS | 脆弱性 | Web2.0 | フィッシング


ITmedia マーケティング新着記事

news122.jpg

博報堂DYメディアパートナーズとDAC、業種特化型マーケティングソリューションの開発を開始
博報堂DYメディアパートナーズとDACは共同で、専門的な情報に特化したWebメディアと協業...

news033.jpg

広告運用の自動化 できることとできないこと
日本の広告運用の現場にも自動化がようやく浸透し始めています。とはいえ、全てが自動化...

news069.jpg

デジタル広告の効果測定、7割の広告主が「Cookieだけでは足りない」――サイカ調査
クッキーだけでは足りないといっても、子どものおやつへの不満ではありません。もっとず...