SE基本情報に出るIT用語

クロスサイトスクリプティング(XSS)とは?Webページに悪さするプログラムを仕込むこと

クロスサイトスクリプティング(XSS)とは、Webページに悪さするプログラム(スクリプト)を仕込むことです。

スクリプトが仕込まれたWebページに、訪問者がアクセスすることで、入力した個人情報を盗んだり、偽サイトに飛ばされたりするイメージ。

クロスサイトスクリプティング(XSS)とは

ある程度、セキュリティがしっかりしてる、脆弱性(ぜいじゃくせい)の対策をしているサイトであれば、被害に遭いにくいですね(*´ω`*)。

スポンサーリンク

クロスサイトスクリプティング(XSS)とは?

クロスサイトスクリプティングは、「Webページに悪さするプログラム(スクリプト)を仕込むこと」で「あぁ〜、なるほど」とってくれたらよしです。

「スクリプトって何?」ってなってる人もいると思うので、簡単に説明します。

スクリプトとは?

スクリプトとは、テキストで書かれた簡易プログラム(例えば、JavaScript)のこと。

パチンコの連チャン確率を継続率を入れて計算するツール」という記事でひよこSE自身、ガッツリ、スクリプトを埋め込んでいます。

<Script>
function calcKakuritu(){
var a1 =document.getElementById(‘keizoku’).value;
var a2 =document.getElementById(‘renchan’).value;
・・・(中略)・・・
document.getElementById(‘kakuritsu’).value=Math.round(kekka*1000000)/1000000;
}
</Script>

Scriptタグで囲われている「スクリプト」は、なんかのタイミングで実行される(画面を表示したとき、ボタンをクリックしたときとか)プログラムです。

スクリプトに悪い文字を埋め込む

もう一度だけ書くと、Scriptタグで囲われている「スクリプト」は、なんかのタイミングで実行される(画面を表示したとき、ボタンをクリックしたときとか)プログラムです。

なので、どこかに

<Script>
偽サイトに飛ばす記述
とか、入力した内容を盗む記述
</Script>

を書いて、それをWebページに埋め込めばいいわけ。

悪意のあるスクリプトが埋め込まれたページにアクセスした訪問者のPCは、「ドカーン」となります 笑

実際の手口は?

え?どうやって埋め込むかって?

具体的に言うと、悪さする人がでてくるからなぁ(´▽`*)。

※やったら絶対ダメです。試すのもダメ。

スクリプトとは、「テキストで書かれた簡易プログラム」なので、言ってしまえば、ただの文字列。

「文字列」をどこかに埋め込めばよいので。

これ以上は・・・。やめておきます。

データベースのSQLインジェクションのHTMLバージョン

それと、「なんかSQLインジェクションみたいなのをやったけど、それに似てない?」と思った人は、するどいです。

  • HTML(Webページを表示)に悪さ:クロスサイトスクリプティング
  • SQL(データベースのデータをやりとり)に悪さ:SQLインジェクション

データベースのSQLインジェクションの、HTMLバージョンがクロスサイトスクリプティングです。

スポンサーリンク

クロスサイトスクリプティング(XSS)の対策は、脆弱性をなくす

クロスサイトスクリプティング(XSS)の対策は、脆弱性(プログラムの欠点)をなくすこと。

クロスサイトスクリプティング(XSS)の対策
  • <Script>のような特殊文字は、プログラムやHTMLのタグとして解釈されないよう、ただの文字として扱う
  • サーバーのWAFの設定ではじく(変な文字の入力をそもそも許可しない)
  • サーバーやアプリの更新を怠らない

「ただの文字として扱う」ってどうやってやるんだ!と思った人もいるかもですが。

「HTML エスケープ処理」みたいにググって出てきたサイトを参照してくださいまし。

これらの脆弱性も、完全になくせるわけではないにせよ、大部分は防げるはず(*´∀`*)。

まとめ

クロスサイトスクリプティング(XSS)ときたら、Webページに悪さするプログラム(スクリプト)を仕込むこと

プログラムの欠点をあらわす脆弱性を無くせば、大部分は防げます。

もし、この攻撃を受けたら、スクリプト(簡易プログラム)の中身通りのことをされます。

変なページに飛ばされたり、いろんなことされると思ってくださいまし(-_-;)。

スポンサーリンク

▼この記事がいいと思ったら、下の画像をクリックしてくれたら励みになります!

にほんブログ村 IT技術ブログ システムエンジニアへ

コメント

タイトルとURLをコピーしました