2010年01月12日 07時30分 UPDATE
特集/連載

情報詐取の常とう手段クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み

XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

[Michael Cobb,TechTarget]

 Webはクロスサイトスクリプティング(XSS)脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。

 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で、Webブラウザとサーバ間のやりとりが大幅に増え、別のサイトのコンテンツをページに取り込むことさえある。この状況では、ユーザーとサービスの間でやりとりされる内容にさまざまな可能性が生じて検証が難しくなり、以前からあるXSSの脆弱性などが、知らないうちにアプリケーションに紛れ込むすきができる。

 サイトがXSS攻撃の被害に遭い続けているのは、大部分が双方向性を求められ、ユーザーのデータの送受信を許しているからだ。これによって攻撃者もまたアプリケーションのプロセスに直接介入できるようになり、正規のアプリケーションリクエストやコマンドに見せかけたデータを、通常のリクエストの手段であるスクリプト、URL、フォームデータなどを通じて受け渡すことが可能になる。アプリケーション層におけるこうした通信は、出来の悪いアプリケーションを利用すれば、従来のような周辺的なセキュリティ対策をかわすことができてしまう。

 2008年の「WhiteHat Security Statistics Report」によると、全Webサイトの90%に少なくとも1件の脆弱性があり、本稿では、XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

関連ホワイトペーパー

XSS | 脆弱性 | Web2.0 | フィッシング


注目テーマ

ITmedia マーケティング新着記事

news082.jpg

「TikTok」にも対応、TWIN PLANETと電通デジタルが「MOVIE GENIC 2.0」を提供開始
TWIN PLANETと電通デジタルは、インフルエンサーの動画広告を制作・配信するソリューショ...

news061.jpg

Amazon独走にWalmartが待ったをかける、海外小売業の最新動向
今、世界の小売業のデジタルシフトはどこまで進んでいるのか。業界事情に詳しいエキスパ...

news024.jpg

目標管理はExcelか紙が7割、アナログ過ぎる日本の職場の現実――HRBrain調べ
HRBrainは「目標管理の実態と従業員の本音に関する意識調査」を実施しました。