特徴
- クロスサイトスクリプティング(XSS:Cross Site Scripting)は、攻撃者による悪意のあるスクリプトをセキュリティの脆弱性があるWebサイトに横断させることによって攻撃を行う手法
- この場合の脆弱性は、ブラウザからのHTTPリクエストメッセージに含まれる入力データを、WebサイトがそのままHTML文中に組み込んで返す動作となっていること
- 利用者は、何らかの契機で攻撃者が準備したWebサイトにアクセスし、悪意のあるスクリプトを受信するとともに、脆弱性のある別のWebサイトにそのスクリプトを入力データとして組み込んでアクセスする。そして、そのままスクリプトを受信して実行することで、予期しない不正な動作が行われる。
- 悪意のあるスクリプトでは、文字列がHTMLドキュメントの一部となるように合成され、ブラウザによってスクリプトとして解釈される構文となることにより成立する
- 対策としては、Webページに入力されたデータをHTMLとして出力する際に、HTML中で特別な意味をもつ文字(<、>、&、’、”)を他の文字に置き換えるエスケープ処理を行い、無害化(サニタイジング)することが有効
過去問
平成30年度秋期ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通
【出典:ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通 平成30年度 秋期 午前1 問13】
クロスサイトスクリプティング対策に該当するものはどれか。
- WebサーバでSNMPエージェントを常時稼働させることによって、攻撃を検知する。
→故障や負荷状況を収集するもので、攻撃を検知するものではない - WebサーバのOSにセキュリティパッチを適用する。
→一般的な対策で、XSSに限定したものではない - Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する。
→正解 - 許容量を超えた大きさのデータをWebページに入力することを禁止する。
→バッファオーバフロー攻撃などの対策