2010年01月19日 07時30分 公開
特集/連載

クロスサイトスクリプティング攻撃とは 後編――防止方法スクリプト対策から脆弱性チェックまで

いまだに攻撃者の攻撃手段として利用されるクロスサイトスクリプティング(XSS)。この、簡単に実行できてしまうXSS攻撃による被害を最小限に抑える方法を取り上げる。

[Michael Cobb,TechTarget]

 前編では、クロスサイトスクリプティング(XSS)攻撃の基礎知識として、XSS攻撃が成立する仕組みについて説明した。今回はXSS攻撃を防ぐための手法を紹介する。

XSS攻撃の防止方法

 自社のサイトがXSS攻撃の被害に遭う確率を下げるためには、何らかの形のセキュリティ開発ライフサイクル(SDL)を使ってWebアプリケーションを開発することが不可欠だ。その目的は、アプリケーションの設計とコーディング段階でセキュリティ関連問題の数を減らし、問題が見つけられずに残ってしまった場合でも危険性を抑えることにある。セキュアなアプリケーションの開発において学ぶべき鉄則として、そのアプリケーションが受け取るデータはすべて、信頼できないソースから来ることを前提としなければならない。これは、そのアプリケーションで受け取るデータ、cookie、電子メール、ファイル、画像など、あらゆるデータに当てはまる。たとえ自分のアカウントにログインして認証を済ませたユーザーからのデータであっても同じだ。

 ユーザーの入力データを信頼しないということは、データを信頼できる境界へと受け渡す都度、そのデータの種類、長さ、フォーマット、レンジをチェックするということだ。例えば、Webフォームからアプリケーションスクリプトに変換し、その後エンコードしてから動的ページへ再表示するような場合がこれに当たる。実際の環境では、自社のサイトでユーザー提供のデータが処理されるすべてのポイントを見直し、ユーザーに再提示する前にクライアントサイドから受け取った値をすべて確実にチェックし、フィルタにかけ、エンコードすることになる。

関連ホワイトペーパー

XSS | 脆弱性 | Internet Explorer | Apache | cookie | パスワード | .NET | Perl


ITmedia マーケティング新着記事

news161.jpg

コロナ禍で縮小したマーケティング施策 1位は「オフラインのセミナー/展示会」――ベーシック調査
B2Bマーケターを対象にした調査で8割以上が「コロナ禍で実施/検討しているマーケティン...

news110.jpg

メルカリ調査 フリマアプリで売れる価格は新品の購買意思決定にどれほど影響する?
フリマプリ出品経験者は、フリマアプリでの再販価格が10%上昇すると、新品に支払える上...

news024.jpg

Google検索における2020年上半期の動向 新型コロナの影響でSEOはどう変わる?
新型コロナウイルスの影響が大きかった2020年の上半期ですが、Google検索の動向において...