【DS検定対策】Webセキュリティ:クロスサイトスクリプティング(XSS)の構造
1. 【 問題 】
Webアプリケーションの脆弱性を利用し、閲覧者のブラウザ上で不正なスクリプトを実行させる攻撃を「クロスサイトスクリプティング(XSS)」と呼びます。
この攻撃によって引き起こされる被害として、適切なものはどれでしょうか?
① 閲覧者のブラウザに保存されているクッキー(セッション情報)が盗まれる
② 閲覧者のブラウザ上で、偽の入力フォームが表示され情報が入力させられる
③ 閲覧者の権限を利用して、Webサイト上で意図しない操作を行わされる
④ 上記のすべて
2. 【 解答 】
正解: ④ 上記のすべて
3. 【 図解 】:XSSの攻撃構造
攻撃者がWebサイトの脆弱な箇所(入力フォーム等)に悪意のあるスクリプトを仕込み、それを「閲覧者のブラウザ」に実行させるのが特徴です。
[ 攻撃のフェーズ ]
1. スクリプトの注入
→ 掲示板や検索窓などに <script> タグなどを送り込む
2. スクリプトの実行
→ 罠のページを踏んだ一般ユーザーのブラウザでスクリプトが動く
3. 情報の奪取・操作
→ Cookieを攻撃者のサーバへ送信したり、偽画面を表示したりする
--------------------------
★ 攻撃対象は「Webサーバ」ではなく「Webサイトの閲覧者」である点がポイントです。
1. スクリプトの注入
→ 掲示板や検索窓などに <script> タグなどを送り込む
2. スクリプトの実行
→ 罠のページを踏んだ一般ユーザーのブラウザでスクリプトが動く
3. 情報の奪取・操作
→ Cookieを攻撃者のサーバへ送信したり、偽画面を表示したりする
--------------------------
★ 攻撃対象は「Webサーバ」ではなく「Webサイトの閲覧者」である点がポイントです。
■ 防御のポイント
1. サニタイジング(無害化): 特別な意味を持つ記号( < や > など)を、別の文字( < や > )に置き換えて、スクリプトとして動作させないようにします。
2. WAFの導入: Web Application Firewallによって、悪意のあるパターンの入力を遮断します。
4. まとめ
DS検定や情報処理試験において、「ブラウザ上でスクリプトを実行」「Cookieの奪取」というキーワードが出たら、クロスサイトスクリプティング(XSS)を正解に選びましょう。コマンドインジェクションとの違いを明確にしておくことが重要です。
PR
