XSS

XSS(クロスサイトスクリプティング)は、Webサイトの脆弱性を突いてHTMLに悪質なスクリプトを埋め込む攻撃です。

XSSとは

XSSはアンケートサイト・サイト内検索窓・掲示板などユーザーからの入力内容をもとにWebページを生成するサイトをターゲットとして、悪質なHTMLスクリプトを実行させます。

XSSの流れ

具体的なXSSの流れを確認しましょう。

[フローステップ] 攻撃者は、入力フォームにスクリプト付のリンクを含む内容を入力してWebアプリケーションに罠を仕掛ける
訪問者が該当のWebアプリケーションを利用
リンクをクリックしてスクリプトが実行されると、別のWebサイトに遷移（クロスする）して悪意のある内容（スクリプト）が実行される

XSSの対策

XSSの対策方法は以下の通りです。

サニタイジング

XSSの対策として、サニタイジングが有効です。サニタイジングとはスクリプトの無害化のことです。

例えばを無害化してしまえば、不正なスクリプトを実行する＜script＞〜＜/script＞が無害化されます。

入力値の制限

入力値を制限することも、XSSの対策には効果を発揮します。例えば生年月日の入力画面で数値以外の入力を制限すれば不正なスクリプトは実行されにくくなります。

ある程度の文字数規制をかけるだけでも、XSSのリスクは下がります。

WAFの導入

XSSの対策として、WAFの導入も挙げられます。

WAFはユーザが送信するリクエスト内容を監視しており、不正な通信があればその場で遮断も可能です。

XSSの関連語

XSSの関連語を確認しておきましょう。

HTML

HTMLはHyperText Markup Languageの略で、マークアップ言語の1つです。

Webサイトを作成するときにコンピューターへ構成指示を出すことで、表示したい文章や写真などの情報を生成します。

脆弱性

脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の弱点のことです。

WAF

WAF(WebWeb Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃を防御するためのセキュリティソフトです。

従来のファイアウォールやIPS/IDSなどのセキュリティ製品では守り切れない攻撃を検知・遮断し、Webアプリケーションを保護します。

XSSまとめ

XSSはWebサイトの脆弱性を狙った攻撃です。IPAによると年間5,000件ほど報告が上がっているメジャーな攻撃です。

対策方法も含めて押さえておきましょう。