2010年01月12日 07時30分 公開
特集/連載

クロスサイトスクリプティング攻撃とは 前編――その目的と仕組み情報詐取の常とう手段

XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

[Michael Cobb,TechTarget]

 Webはクロスサイトスクリプティング(XSS)脆弱性をなくすことができずにいる。XSSは、攻撃者が悪質なクライアントサイドコードをWebページに仕込んでセキュリティを破るもので、1990年代ごろから浮上し、Google、Yahoo!、Facebookといった大手Webサイトのほとんどは、いずれもXSS問題に見舞われてきた。XSSの脆弱性を突いた攻撃を仕掛ければ、情報を盗んだり、ユーザーのセッションを乗っ取ったり、悪質コードを実行したり、あるいはフィッシング詐欺の手口に利用することも可能だ。

 Web 2.0が最先端のXSS攻撃を生み出したとの見方もあるが、実際には、こうした攻撃は古い手口を焼き直しただけのものがほとんどだ。ただし確かなのは、Ajax技術によって様相が変わり、攻撃者が一層見えにくい形でXSSの脆弱性を悪用できるようになったことだ。Ajaxアプリケーションは一般的に極めて複雑で、Webブラウザとサーバ間のやりとりが大幅に増え、別のサイトのコンテンツをページに取り込むことさえある。この状況では、ユーザーとサービスの間でやりとりされる内容にさまざまな可能性が生じて検証が難しくなり、以前からあるXSSの脆弱性などが、知らないうちにアプリケーションに紛れ込むすきができる。

 サイトがXSS攻撃の被害に遭い続けているのは、大部分が双方向性を求められ、ユーザーのデータの送受信を許しているからだ。これによって攻撃者もまたアプリケーションのプロセスに直接介入できるようになり、正規のアプリケーションリクエストやコマンドに見せかけたデータを、通常のリクエストの手段であるスクリプト、URL、フォームデータなどを通じて受け渡すことが可能になる。アプリケーション層におけるこうした通信は、出来の悪いアプリケーションを利用すれば、従来のような周辺的なセキュリティ対策をかわすことができてしまう。

 2008年の「WhiteHat Security Statistics Report」によると、全Webサイトの90%に少なくとも1件の脆弱性があり、本稿では、XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。

関連ホワイトペーパー

XSS | 脆弱性 | Web2.0 | フィッシング


ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...