クロスサイト・スクリプティング

出典: くみこみックス

2009年1月13日 (火) 08:10; S hira (会話 | 投稿記録) による版
(差分) ←前の版 | 最新版を表示 (差分) | 次の版→ (差分)

 WebサイトのCGIなど,Webアプリケーションの設計やコーディング・ミスによって発生するセキュリティ・ホール.訪問者からの入力文字列を処理する際に,特殊な文字やキーワードを排除せずそのまま処理すると,Webサーバやブラウザにとって特別な意味をもつスクリプトが混入され,実行してしまうことがあるという問題.あるWebサーバからほかのサーバなどへ情報を漏えいすることがあるため,こう呼ばれる.これにより,本来許可されていない操作が可能になる.例えば,Webサーバ上に格納されたファイルに対して許可されていないアクセスを可能にしたり,ブラウザが保有するCookie情報をほかのWebサイトへ送出させるといったことが可能になる.また,ブラウザが動作するコンピュータのローカル・ファイルをほかのコンピュータに転送したり,ほかのサイトへ誘導するなどの攻撃が行える.

 従来のセキュリティ・ホールの大半がWebサーバやブラウザなどのソフトウェア開発時に含まれる問題であるのに対して,クロスサイト・スクリプティングはCGIなど,ユーザのWebアプリケーションの開発に起因する問題であるため,対策が異なる.ユーザの入力など,Webサーバが受け取る文字列から特殊な意味をもつ文字や文字列を排除,あるいはエスケープ処理してからブラウザへ返すように対策する必要がある.具体的には,&は&amp,>は&gt,<は&ltなどである.なお,静的な要素のみのページでは,この問題は起きない.

【出典】Interface編集部 編;組み込み技術用語集,Interface 2007年8月号 別冊付録,CQ出版社,2007年8月.

表示