わかりやすく!情報セキュリティ講座011 クロスサイトスクリプティングとは?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

いまでは個人でウェブサイトやブログを運営しやすくなっているので、個人でこれらを運営している方も多くなりました。

アメブロなどの運営者がいる中でブログを利用するサービスでは、運営会社がページやサーバーの管理をしているので気にすることはありませんが、私のように個人でレンタルサーバーを使ってブログやウェブサイトを運営していると、何かと脅威は尽きません。

今回はブログやウェブサイトを運営するうえでの脅威となる「クロスサイトスクリプティング」についてお話します。

 

「クロスサイトスクリプティング(XSS)」とはなにか?

クロスサイトスクリプティングとは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性を利用した攻撃方法のことをいいます。

動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。

被害が及ぶのは、ウェブサイトやブログの運営者にとどまらず、被害にあったページを閲覧したユーザーにも及ぶところが特徴です。

一般的には「ワードプレス」の古いバージョンでつくられたウェブサイトやブログが被害にあうことが多いとされています。

 

攻撃の手法と特徴

攻撃者は、クロスサイトスクリプティングに対して脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正なスクリプトを実行させることができます。

攻撃者は、脆弱性を利用するために、不正スクリプトを含んだ攻撃用URLを作りこんでいます。

 

影響と被害

攻撃者が用意した攻撃用URLにアクセスしてしまうことで、ユーザの環境で不正なスクリプトが実行されます。

ユーザ環境で不正スクリプトが実行されることにより、不正プログラムの感染ユーザを騙す表示によるフィッシング詐欺、クッキー情報の取得によるセッションハイジャック情報詐取、他の不正サイトへの誘導、などの被害に繋がります。

 

インターネットユーザに求められる対応

  1. 最新のブラウザにアップデートする
  2. 電子メール内やWeb上の不審なURLを安易にクリックしない
  3. ブラウザのセキュリティ設定により、スクリプトの実行を無効化する
  4. ウイルス対策製品により、不正スクリプトを検出し、実行をブロックする
  5. セキュリティ対策製品の機能により、不正サイトへのアクセスをブロックする

などの方法が有効です。

 

ウェブサイトやブログの管理者に求められる対応

根本的な解決のためには、Webサーバ側で脆弱性に対処することが必要であり、脆弱性を作りこまれないようにWebアプリケーション作成時から対策を意識することが必要となります。

  1. WebサーバやWebアプリケーションのミドルウェアを常に最新の状態にする
  2. 脆弱性が作りこまれないようWebアプリケーションの処理を精査する
  3. WAF(ウェブアプリケーションファイアウォール)、XSSフィルタなどのセキュリティ対策製品を導入する

最近ではレンタルサーバー側でウェブアプリケーションファイアウォールなどを無償で提供していることもありますので、ぜひ活用して頂ければと思います。

 

このようにウェブサイトやブログを運営していくうえで備えなければならない脅威はまだ他にも存在します。

次回は「SQLインジェクション攻撃」についてお話したいと思います。

 

最後までお読みいただき、ありがとうございました。

スポンサーリンク

1 2 3 4 5

決定版 サイバーセキュリティ: 新たな脅威と防衛策

決定版 サイバーセキュリティ: 新たな脅威と防衛策
¥ 1,944
ASIN: 4492762450
東洋経済新報社

サイバーセキュリティ (岩波新書)

サイバーセキュリティ (岩波新書)
¥ 821
ASIN: 4004317428
岩波書店

サイバーセキュリティマネジメント入門 (KINZAIバリュー叢書)

サイバーセキュリティマネジメント入門 (KINZAIバリュー叢書)
¥ 1,728
ASIN: 4322132154
きんざい

サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考

サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考
¥ 3,240
ASIN: 4873117313
オライリージャパン

サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~

サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~
¥ 3,650
ASIN: 4839959552
マイナビ出版

サイバーセキュリティ入門:図解×Q&A

サイバーセキュリティ入門:図解×Q&A
¥ 3,240
ASIN: 4766425472
慶應義塾大学出版会

事例でわかるサイバーセキュリティの最新トレンド

事例でわかるサイバーセキュリティの最新トレンド
¥ 2,160
ASIN: 4908520291
サイバー出版センター

IoT時代のサイバーセキュリティ―制御システムの脆弱性検知と安全性・堅牢性確保

IoT時代のサイバーセキュリティ―制御システムの脆弱性検知と安全性・堅牢性確保
¥ 3,240
ASIN: 4860435397
エヌ・ティー・エス

実践サイバーセキュリティモニタリング

実践サイバーセキュリティモニタリング
¥ 2,916
ASIN: 4339028533
コロナ社

サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス)

サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス)
¥ 1,080
ASIN: 406502045X
講談社

1 2 3 4 5

CS Shop
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

Translate this page

おススメのページ

%d人のブロガーが「いいね」をつけました。