クロスサイト・スクリプティング(XSS)脆弱性

読み方 : くろすさいとすくりぴてぃんぐ;くろすさいとすくりぴてぃんぐぜいじゃくせい

クロスサイト・スクリプティング(XSS)脆弱性とは

Webアプリケーションのセキュリティホールの一つ。このセキュリティホールを悪用すると、ハッカーはユーザーが電子商取引(EC)サイトで使う会員認証用の識別情報「クッキー」を横取りしてユーザーになりすまし、物品を購入することなどが可能になる。

XSS脆弱性を利用した攻撃の手口の一例を示す。ハッカーはインターネット上の掲示板などに、脆弱性を持つECサイトへのリンクを張り付け、ユーザーにクリックさせる。その際、不正なスクリプトをECサイトに送信するように細工しておく。具体的には、リンク先(ECサイト)のURLの末尾に「クッキーをハッカーのサーバーに送信しろ」というスクリプトを付ける。XSS脆弱性を持つECサイトのサーバーは、このスクリプトを含むHTML文を生成してユーザーのWebブラウザに送る。ユーザーのWebブラウザはスクリプトを実行して、クッキーをハッカーのサイトに送信してしまう。こうして入手したクッキーを使って、なりすましが可能になる。

XSS脆弱性は2000年2月、ウイルスや脆弱性に関する米国の専門機関(CERT/CC)と米マイクロソフトが発表したことで、知られるようになった。その後も、XSS脆弱性対策が十分でないWebサイトがたびたび発見・指摘されている。

出典:ITpro「今日のキーワード」(C)日経BP社

[2010年 1月 1日 公開]

お役立ち情報満載!「資料ダウンロードまとめサイト」のご案内