XSS(cross-site scripting:クロスサイトスクリプティング)Keywords

2007年10月15日 17時27分 公開
[TechTarget]

 XSS(cross-site scripting:クロスサイトスクリプティング)とは、信頼できるWebサイトを指しているように見えるリンクに、悪意あるスクリプトコードを挿入することで行われるセキュリティ攻撃である。エンドユーザーがこのリンクをクリックすると、挿入されているコードがこのユーザーのWebリクエストの一部として、リンク先のサイトに送信される。このサイトはリクエストに応じてユーザーのブラウザにコンテンツを返すが、その中にはリクエストに含まれていたコードがそのまま混入している。このコードがユーザーのコンピュータで実行され、コンピュータ内の情報を攻撃者に勝手に送信するなどの不正な処理を行う。

 ユーザーの入力データを含むエラーメッセージを動的に返すWebフォームは、フォームやページの動作を制御するHTMLを、攻撃者が改変できるようにしてしまう場合がある。攻撃者は、フォーラムの投稿内のリンクやスパムメッセージ内のリンクにコードを挿入するなど、さまざまな方法でこの不正を行う。電子メールスプーフィングにより、信頼できる送信者になりすます場合もある。

 SQLインジェクションなどのほかのWebベースの攻撃と同様に、クロスサイトスクリプティングが可能になるのは、アプリケーションのセキュリティの不備が最大の原因だ。ページを動的に生成するWebサーバアプリケーションは、ユーザーの入力を検証して適切にエンコードされたページだけを生成するようになっていない場合、クロスサイトスクリプティング攻撃を受ける恐れがある。クロスサイトスクリプティングを可能にするこの脆弱性は、XSSホールと呼ばれることもある。

 当然のことながら、専門家はクロスサイトスクリプティング対策として、Webアプリケーションに適切なセキュリティメカニズムを実装し、サーバで入力を検証することを勧めている。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 LRM株式会社

セキュリティ教育のマンネリ化を防ぎ、従業員の意識向上を図るには?

サイバー攻撃が高度化する中、従業員のセキュリティ意識を高めるための教育や訓練の重要性が高まっている。しかし、訓練するだけで終わってしまっている企業も少なくない。効果的なセキュリティ教育を実施するにはどうすればよいのか。

製品資料 LRM株式会社

基礎から分かる「セキュリティ教育」、4つのアプローチはどれが最適か?

ISMSやPマークといった認証を取得している企業はもちろん、取得していない企業にとっても情報セキュリティ教育が重要であることは変わらない。その方法には、eラーニングや外部セミナー、集合研修などがあるが、どう選べばよいのか。

製品資料 INFINIDAT JAPAN合同会社

ストレージ×バックアップソフトでランサムウェア対策、事例で学ぶ効果の実態

ランサムウェアの脅威に対処するには、攻撃を受けた際、信頼できるバックアップデータを迅速にリストアできる環境が不可欠だ。定番バックアップソフトとあるストレージの組み合わせに注目し、その導入事例を紹介する。

製品資料 サイバーソリューションズ株式会社

メールセキュリティチェックシートで確認する、自社に必要な対策とは?

エンドポイントで発生するインシデントのうち、90%前後がメール経由の攻撃だ。そのため、メールを含む包括的対策が不可欠となる。そこで本資料では、企業規模に応じた対策をチェックシート形式で解説する。

製品資料 NTTデータルウィーブ株式会社

中小企業のセキュリティ対策、限られたリソースで効率的な運用をどう実現する?

IT環境の急速な変化により、従来のセキュリティ運用には新たな課題が生じている。特にリソースが限られている中堅・中小企業にとって、セキュリティと業務効率を両立させることは難しい。そこで注目したいのが、SASEマネージドサービスだ。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/05/20 UPDATE

  1. 髢シ�ス�シ�ア隲、�ァ髫エ莨懈肩陝��ツ€髱エVE邵イ髦ェ竊馴�竏晢スヲ繧��邵コ蜉ア窶サ髫ェ�ェ郢ァ蠕娯螺遯カ諛キ�ュ蛟�スコ�。邵コ�ョ隶匁コェツ€譏エツ€ツ€邵コ阮呻ス檎クコ荵晢ス臥クコ�ゥ邵コ�ス竊醍ケァ蜈キ�シ�ス
  2. 郢昜サ」縺帷ケ晢スッ郢晢スシ郢晏ウィ�育ケァ髮�スョ迚呻ソス邵コ�ァ髫募」ケ竏エ郢ァ�ス笘�クコ�スツ€蠕後Τ郢ァ�ケ郢晁シ釆樒ケ晢スシ郢ァ�コ邵イ髦ェ�ス闖エ諛奇ス願ュ�スケ
  3. 郢ァ�サ郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�ケ晢ソス�ス郢晢スォ鬮「迢怜験邵コ迹夲スィ�エ髫ェ貅佩懃ケァ�ケ郢ァ�ッ邵コ�ォ�ス貅伉€ツ€Meta邵コ�ョ242陷�ソス�ス陷肴凵�ィ�エ邵コ�ァ隘搾スー郢ァ驫€ツ€諛茨スソツ€鬮エ�スツ€�ス
  4. CVE驍ゑス。騾�ソス�ス轣伜ョ帷クコ謔滂ス、�ァ陝キ�ス�サ�「隰�蟷「�シ貅伉€ツ€IT鬩幢スィ鬮「ツ€隲。�ス�ス讌「ツ€�ス窶イ郢ァ�ス�狗クコ�ケ邵コ髦ェ��クコ�ィ邵コ�ッ邵コ阮呻ス檎クコ�ス
  5. 闖ォ�。鬯�スシ邵コ蜉ア窶サ邵コ�ス笳�Web郢ァ�オ郢ァ�、郢晏現窶イ邵コ�セ邵コ霈板ー邵コ�ョ隲「貊捺イ定イ�腸�シ貅伉€ツ€邵イ譴ァ�ー�エ鬯滂スイ邵コ�ソ陜」�エ陜吝玄蛻、隰ヲ�スツ€髦ェ�ス隰�唱蜩ィ邵コ�ィ邵コ�ッ
  6. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ謔カ�ス隴幢スャ陟冶侭竊楢叉�ス�ス�ス貅伉€ツ€郢晁�繝」郢ァ�ッ郢ァ�「郢晢ソス�ス邵コ�ョ髫慕距蟲ゥ邵コ�ス7陞滂スァ郢晄亢縺�ケ晢スウ郢晢ソス
  7. 遯カ諛亥矯鬨セ螢ケ�ス郢ァ�「郢晏干ホ懃ェカ譏エ窶イ陷奇スア邵コ�ェ邵コ�ス�シ貅伉€ツ€闕ウ荵滄�郢ァ蜻域亊郢ァ荵昶€イ邵コ蜻守悛陜吩ケ昴○郢昜サ」縺�ケァ�ヲ郢ァ�ァ郢ァ�「邵コ�ョ雎�ス」闖エ�ス
  8. 邵イ迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ披鴬邵イ蝣コ�サ�・陞滓じ�ス郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ謔カ�ス隴幢スャ陟冶侭竊鍋クコ繧�ス狗クコ�ョ邵コ蜈キ�シ�ス
  9. 遯カ諛キ�ス阮吮螺郢ァ髮∫√遯カ譏エ�ス闕ウ讎奇ス咏クコ謔滂ス、�ァ陜�蝓趣ス。蠕個€ツ€闔ィ竏オ�・�ュ邵コ�ォ郢ァ蛹サ�・邵コ繧�ス�5邵コ�、邵コ�ョ髢シ�ス�シ�ア隲、�ァ邵コ�ィ陝�スセ驕イ�ス
  10. 郢昜サ」縺帷ケ晢スッ郢晢スシ郢晏ウィ�ス郢ァツ€邵コ蜉ア�咲クイ謔滉コ幃ォッ�コ邵イ謳セ�シ貅伉€ツ€髫ア蟠趣スィ�シ陜難スコ騾カ�、郢ァ雋橸スシ�キ陋ケ謔カ笘�ケァ荵晢シ�クコ�、邵コ�ッ

XSS(cross-site scripting:クロスサイトスクリプティング):Keywords - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。