XSS
フルスペル:Cross Site Scripting
別名:クロスサイトスクリプティング
XSSとは、Webサイトの脆弱性を利用した攻撃手法の一種で、入力フォームなどから悪意あるスクリプトを挿入して、該当ページを閲覧したブラウザ上でそのスクリプトを実行させる手法のことである。
XSSの脆弱性を利用すると、任意の命令や閲覧者のWebブラウザ上で実行させたり、HTMLを表示させたりすることができる、これにより、改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組んだりといった操作も可能になる。
XSSは、掲示板の入力欄は検索ボックスといった、ユーザーからの入力を受け付ける機能において、特殊文字のエスケープなどが適切に行われていない場合などに悪用可能となる。もともとはWebサイトを横断して実行させることが可能であるという点が特徴とされていたが、最近ではWwbサイトを横断可能であるかどうかを問わず、サイトに任意にスクリプトを挿入させて実行できる脆弱性を広く指す場合が多い。
また、ユーザーを騙して誘導し、悪意あるコードをユーザー自身に入力させる手法は、「セルフXSS」と呼ばれている。2011年には、SNS最大手であるFacebookなどでもセルフXSSの攻撃が多く発見されており、Facebook側では不審なURLに対してユーザーに警告するなどの対応を追加している。
|