サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 クロスサイトスクリプティング脆弱性|サクッと読めるセキュリティ用語解説

クロスサイトスクリプティング脆弱性|サクッと読めるセキュリティ用語解説

サクッと読めるセキュリティ用語解説 クロスサイトスクリプティング脆弱性
目次
  • クロスサイトスクリプティング 概要
  • クロスサイトスクリプティングの脆弱性の特徴と被害事例

クロスサイトスクリプティング 概要

クロスサイトスクリプティング(XSS)とは、プログラミング言語の一つであるJavaScriptを、WEBサイト利用者のブラウザ上で不正に実行させることができる脆弱性、およびその脆弱性を利用した攻撃手法を指します。クロスサイトスクリプティング攻撃により、WEBサイト利用者の画面で意図しない操作が実行されたり、アカウントを乗っ取られるなどの被害が生じます。

クロスサイトスクリプティングの脆弱性の特徴と被害事例

クロスサイトスクリプティングの脆弱性は、大きく分けて2種類に区別されます。その特徴と脆弱性を利用された攻撃の流れをご紹介します。

1)反射型クロスサイトスクリプティング

反射型クロスサイトスクリプティングは、リクエスト内に仕込んだJavaScriptが、そのリクエストに対するレスポンス内に含まれる脆弱性です。この脆弱性は、入力内容の確認画面など、サイト利用者が入力した情報が直後に返ってくる(反射する)ような画面に存在します。

< 反射型クロスサイトスクリプティングの脆弱性を利用された攻撃例 >

  1. (1)攻撃者がWEBサイトで反射型クロスサイトスクリプティングの脆弱性を発見する。
  2. (2)攻撃者は罠サイトを用意し、WEBサイトのURLにJavaScriptを仕込んだ攻撃URLを作成する。
  3. (3)罠サイトにアクセスした被害者が攻撃URLにリダイレクトする。
  4. (4)URL内に仕込まれたJavaScriptが被害者の画面上で実行される。

2)保存型クロスサイトスクリプティング

保存型XSSは、リクエスト内に仕込んだJavaScriptがサーバー内に保存され、そのJavaScriptが別のリクエストを送信した際のレスポンス内に含まれる脆弱性です。この脆弱性は掲示板サイトなど、サイト利用者が入力した情報が公開されるような画面に存在します。

< 保存型クロスサイトスクリプティングの脆弱性を利用された攻撃例 >

  1. (1)攻撃者が掲示板サイトで保存型XSSの脆弱性を発見する。
  2. (2)攻撃者はJavaScriptを仕込んだ文章を作成し、掲示板に投稿する。
  3. (3)被害者が掲示板サイトにアクセスする。
  4. (4)投稿内に仕込まれたJavaScriptが被害者の画面上で実行される。

保存型クロスサイトスクリプティングの脆弱性が存在することが発覚し、悪用された被害事例をご紹介します。

保存型クロスサイトスクリプティングの被害事例

2010年、Twitterに保存型XSSの脆弱性が存在することが発覚し、それを悪用した事件がありました。攻撃者がTwitterに投稿した内容にはJavaScriptが含まれており、被害者が該当の投稿にマウスカーソルを合わせると、被害者のアカウントで同じ内容の投稿が行われて拡散するというものでした。これにより、最終的に著名人を含む数十万人のユーザーでこの投稿が行われてしまいました。


参照元:Twitterの“XSS騒動”はどのように広まったか
https://www.itmedia.co.jp/news/articles/1009/24/news023.html

XSS脆弱性はクラウド環境に構築したWebアプリケーションでも発生することがあります。ブラウザから見るとオンプレもクラウドも基本的に同じ仕組みであるため、受ける被害のリスクは変わりません。数々のセキュリティ機能が備わっているからと安心せずに、対策できているかチェックすることが重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 廣政 龍亮

2016年よりSHIFTのグループ会社に入社し、主にソフトウェアテストに従事。2017年よりSHIFT SECURITY案件に配属される。同案件ではWEB脆弱性診断のテスト実行や案件管理を経て、現在はテEストケース標準化に携わる。こちらにてお願いします!

\ 記事をシェアする /

サービスに関する
お問い合わせ