情報セキュリティ講座(97) クロスサイトスクリプティング①
クロスサイトスクリプティング(XSS = Cross Site Scripting)は、代表的なWebによるサイバー攻撃です。
典型的な手口は、次の通りです。
まず攻撃者は、SNSなどの動的なサイトAに、悪意あるスクリプトを仕掛けます。
さらに攻撃者は、メールなどでユーザをこのサイトにアクセスさせて、このスクリプトをクッキーなどでユーザのPCに忍び込みます。ユーザは、別のサイトBに移動します。このサイトB は、攻撃者が予め見つけた脆弱性のあるサイトです。
ユーザがサイトBを開くと、スクリプトが働いて、攻撃者が仕掛けたニセポップアップが開きます。ユーザはそれと知らず、IDやパスワードなどを入力すると、スクリプトがさらに働いて、情報を攻撃者の元に届けるというものです。
脆弱性があるのはサイトBなのですが、直接の被害を被るのは、個人情報を盗み出されるユーザーです。脆弱性があるというのは、例えばユーザが入力した内容が、そのまま画面に表示するような仕掛けの場合、スクリプトが動作しやすくなるのです。
XSSによる被害は、他のサイバー攻撃に比べても、非常に多いです。そのため、脆弱性を回避するための対策が必要です。
対策としては、いくつかの方法が提起されていますので、明日書いていきたいと思います。
投稿者プロフィール
![小笠原 裕](https://www.ogasawara-office.net/wp-content/uploads/2020/08/小笠原裕_20200814-150x150.jpg)
最新の投稿
ITプロジェクトマネジメント2024.06.18メキシコでのITプロジェクト支援
事務所2024.06.16青龍
バラの街2024.06.15バラの花がら摘み
バラの街2024.06.09地元小学校 バラの花がら摘み