セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



XSS(クロスサイトスクリプティング)

概要

 「クロスサイトスクリプティング」とは、ユーザの入力値を元にHTMLやURLなどを動的に生成しているWebサイトにおいて、攻撃者によって任意のHTMLやJavaScriptが埋め込まれることで、ユーザのブラウザ上に表示されるコンテンツの改ざんが行われる攻撃です。

1:攻撃者は、ユーザが掲示板などを装った罠サイトにアクセスするよう誘導します。
2:ユーザが罠サイトにアクセスすると、
3:ユーザ自身は意識することなく対象のWebサイトに強制的にアクセスさせられます。
4:その際、ユーザは対象のWebサイトに攻撃コードを含んだリクエストを送ってしまいます。
5:ユーザがWebサイトから受け取るレスポンスには、攻撃コードによって生成されたスクリプトが含まれており、
678:そのスクリプトによってセッションの乗っ取りや、見かけ上のページ改ざんなどの被害を受ける可能性があります。


・注意を要するWebサイト

問い合わせ機能の確認画面など、ユーザから受け取った入力値を使って、動的にHTML、URL、JavaScriptを生成しているWebサイトで注意が必要です。

クロスサイトスクリプティング

XSS(クロスサイトスクリプティング)

脅威・発生しうるリスク

 攻撃者によってHTMLタグやJavaScriptが挿入された場合、次のような被害を受ける可能性があります。

・不正なサイトへの誘導

 攻撃者によってブラウザ上に表示されるコンテンツを書き換える不正なスクリプトを挿入されると、ユーザのブラウザ上に本来存在しないリンクが挿入され、攻撃者が指定した不正なサイトに誘導される可能性があります。

・セッションの乗っ取り

 攻撃者によってユーザのcookieを盗むスクリプトが挿入されると、ユーザのCookieに含まれるセッションIDが盗まれる可能性があります。攻撃者に盗まれたセッションIDが使われると、セッションが乗っ取られ、なりすましの被害を受ける可能性があります。

・不正プログラムの埋め込み・実行

 攻撃者によってブラウザ上に表示されるコンテンツを書き換える不正なスクリプトを挿入されると、ユーザのブラウザ上に表示されるコンテンツが改ざんされる可能性があります。改ざんされたコンテンツ内に不正なプログラムが埋め込まれていた場合、ユーザがウイルスに感染するなどの被害を受ける可能性があります。

・機密情報の漏えい

 攻撃者によってユーザのブラウザ上に表示されるコンテンツを盗むスクリプトや、ユーザのキー入力やマウス操作を全て盗むキーロガーのようなスクリプトが挿入されると、ブラウザ上に表示されている機密情報や、ユーザが入力フォームに入力した個人情報などが漏えいする可能性があります。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ