情報セキュリティ講座(97) クロスサイトスクリプティング①
クロスサイトスクリプティング(XSS = Cross Site Scripting)は、代表的なWebによるサイバー攻撃です。
典型的な手口は、次の通りです。
まず攻撃者は、SNSなどの動的なサイトAに、悪意あるスクリプトを仕掛けます。
さらに攻撃者は、メールなどでユーザをこのサイトにアクセスさせて、このスクリプトをクッキーなどでユーザのPCに忍び込みます。ユーザは、別のサイトBに移動します。このサイトB は、攻撃者が予め見つけた脆弱性のあるサイトです。
ユーザがサイトBを開くと、スクリプトが働いて、攻撃者が仕掛けたニセポップアップが開きます。ユーザはそれと知らず、IDやパスワードなどを入力すると、スクリプトがさらに働いて、情報を攻撃者の元に届けるというものです。
脆弱性があるのはサイトBなのですが、直接の被害を被るのは、個人情報を盗み出されるユーザーです。脆弱性があるというのは、例えばユーザが入力した内容が、そのまま画面に表示するような仕掛けの場合、スクリプトが動作しやすくなるのです。
XSSによる被害は、他のサイバー攻撃に比べても、非常に多いです。そのため、脆弱性を回避するための対策が必要です。
対策としては、いくつかの方法が提起されていますので、明日書いていきたいと思います。
投稿者プロフィール
最新の投稿
- 総合2024.02.12動物たち
- バラの街2024.02.11黄色いレシートキャンペーン
- 手続きコンサルティング2024.02.10行政書士会 新年賀詞交換会
- 事務所2024.02.08日曜大工