クロスサイトスクリプティング(XSS)とは、プログラミング言語の一つであるJavaScriptを、WEBサイト利用者のブラウザ上で不正に実行させることができる脆弱性、およびその脆弱性を利用した攻撃手法を指します。クロスサイトスクリプティング攻撃により、WEBサイト利用者の画面で意図しない操作が実行されたり、アカウントを乗っ取られるなどの被害が生じます。
クロスサイトスクリプティングの脆弱性は、大きく分けて2種類に区別されます。その特徴と脆弱性を利用された攻撃の流れをご紹介します。
反射型クロスサイトスクリプティングは、リクエスト内に仕込んだJavaScriptが、そのリクエストに対するレスポンス内に含まれる脆弱性です。この脆弱性は、入力内容の確認画面など、サイト利用者が入力した情報が直後に返ってくる(反射する)ような画面に存在します。
< 反射型クロスサイトスクリプティングの脆弱性を利用された攻撃例 >
保存型XSSは、リクエスト内に仕込んだJavaScriptがサーバー内に保存され、そのJavaScriptが別のリクエストを送信した際のレスポンス内に含まれる脆弱性です。この脆弱性は掲示板サイトなど、サイト利用者が入力した情報が公開されるような画面に存在します。
< 保存型クロスサイトスクリプティングの脆弱性を利用された攻撃例 >
保存型クロスサイトスクリプティングの脆弱性が存在することが発覚し、悪用された被害事例をご紹介します。
2010年、Twitterに保存型XSSの脆弱性が存在することが発覚し、それを悪用した事件がありました。攻撃者がTwitterに投稿した内容にはJavaScriptが含まれており、被害者が該当の投稿にマウスカーソルを合わせると、被害者のアカウントで同じ内容の投稿が行われて拡散するというものでした。これにより、最終的に著名人を含む数十万人のユーザーでこの投稿が行われてしまいました。
参照元:Twitterの“XSS騒動”はどのように広まったか
https://www.itmedia.co.jp/news/articles/1009/24/news023.html
XSS脆弱性はクラウド環境に構築したWebアプリケーションでも発生することがあります。ブラウザから見るとオンプレもクラウドも基本的に同じ仕組みであるため、受ける被害のリスクは変わりません。数々のセキュリティ機能が備わっているからと安心せずに、対策できているかチェックすることが重要です。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
