2010年01月12日 07時30分 UPDATE
特集/連載

情報詐取の常とう手段クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み

XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

[Michael Cobb,TechTarget]

 Webはクロスサイトスクリプティング(XSS)脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。

 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で、Webブラウザとサーバ間のやりとりが大幅に増え、別のサイトのコンテンツをページに取り込むことさえある。この状況では、ユーザーとサービスの間でやりとりされる内容にさまざまな可能性が生じて検証が難しくなり、以前からあるXSSの脆弱性などが、知らないうちにアプリケーションに紛れ込むすきができる。

 サイトがXSS攻撃の被害に遭い続けているのは、大部分が双方向性を求められ、ユーザーのデータの送受信を許しているからだ。これによって攻撃者もまたアプリケーションのプロセスに直接介入できるようになり、正規のアプリケーションリクエストやコマンドに見せかけたデータを、通常のリクエストの手段であるスクリプト、URL、フォームデータなどを通じて受け渡すことが可能になる。アプリケーション層におけるこうした通信は、出来の悪いアプリケーションを利用すれば、従来のような周辺的なセキュリティ対策をかわすことができてしまう。

 2008年の「WhiteHat Security Statistics Report」によると、全Webサイトの90%に少なくとも1件の脆弱性があり、本稿では、XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

関連ホワイトペーパー

XSS | 脆弱性 | Web2.0 | フィッシング


ITmedia マーケティング新着記事

news025.jpg

Criteo、Facebook、Googleショッピング広告が人気――フィードフォース「データフィード利用状況調査2019」
データフィードを活用している企業が利用する人気の媒体(フィード送信先)やその推移、...

news017.jpg

「アドネットワーク」と「プログラマティック広告」が混同されていないか
マーケターがブランドの価値を守りながら広告戦略を多様化させていくために必要なことと...

news017.jpg

消費財メーカーを悩ませる「店舗」という大問題、SaaSならどう解決できる?
小売業が激動する時代の消費財メーカーにSaaSができることは何か。Salesforceの新製品「C...