情報セキュリティ用語集 |
 
|
クロスサイト・スクリプティング【cross-site scripting】
Web上で使用されるCGIなどのプログラムの中にある脆弱性の1つ。悪意のあるWebサイトを閲覧すると、スクリプトを実行でき、クッキーの漏洩、ファイルの破損といった被害が発生する。対策としてはサニタイジング(入力の無害化)などが必要。
PHP用語集 |
|
XSS クロスサイトスクリプティング
【英】 Cross-Site Scripting
脆弱性のあるスクリプトに対して、パラメータとして不正なスクリプトコードを渡すことでWebページに予期せぬスクリプトを埋め込む攻撃。
この攻撃を受けると、悪意あるスクリプトを埋め込まれたページにアクセスしたユーザの持っている情報が攻撃者に収集されるといった情報の流出が起き、アカウントの乗っ取りや成りすましといった被害をもたらす。
関連用語
IT用語辞典バイナリ |
|
XSS
別名:クロスサイトスクリプティング
XSSとは、Webサイトの脆弱性を利用した攻撃手法の一種で、入力フォームなどから悪意あるスクリプトを挿入して、該当ページを閲覧したブラウザ上でそのスクリプトを実行させる手法のことである。
XSSの脆弱性を利用すると、任意の命令や閲覧者のWebブラウザ上で実行させたり、HTMLを表示させたりすることができる、これにより、改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組んだりといった操作も可能になる。
XSSは、掲示板の入力欄は検索ボックスといった、ユーザーからの入力を受け付ける機能において、特殊文字のエスケープなどが適切に行われていない場合などに悪用可能となる。もともとはWebサイトを横断して実行させることが可能であるという点が特徴とされていたが、最近ではWwbサイトを横断可能であるかどうかを問わず、サイトに任意にスクリプトを挿入させて実行できる脆弱性を広く指す場合が多い。
また、ユーザーを騙して誘導し、悪意あるコードをユーザー自身に入力させる手法は、「セルフXSS」と呼ばれている。2011年には、SNS最大手であるFacebookなどでもセルフXSSの攻撃が多く発見されており、Facebook側では不審なURLに対してユーザーに警告するなどの対応を追加している。
| ネットワーク攻撃: | ジョージョブ 中間者攻撃 ディレクトリトラバーサル XSS |
| ネットワーク犯罪: | アドウェア ウォーダイヤリング Cybercrime Convention |
ウィキペディア |
|
クロスサイトスクリプティング
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2011/07/08 09:17 UTC 版)
クロスサイトスクリプティング (Cross Site Scripting) とは、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。- 1 クロスサイトスクリプティングとは
- 2 クロスサイトスクリプティングの概要
- 3 関連項目
クロスサイトスクリプティングに関連した本
- ネットワーク 現場の教科書 増補改訂版 (IDGムックシリーズ) アイ・ディ・ジー・ジャパン
- テクニカルエンジニア 情報セキュリティハンドブック 平成20年度 山崎 秀樹 アイ・ディ・ジー・ジャパン
- NETWORKWORLD (ネットワーク ワールド) 2008年 3月号 [雑誌] アイ・ディ・ジー・ジャパン
クロスサイトスクリプティングに関係した商品
- 【送料無料】 WEBアプリケーション構築入門 実践!WEBページ制作からマッシュアップまで / 矢吹太朗 【単行本】HMV ローソンホットステーション R
- 【送料無料】 独習JAVA サーバサイド編 / 山田祥寛 【単行本】HMV ローソンホットステーション R
- 【送料無料選択可!】Webアプリケーション構築入門 第2版 実践!Webページ制作からマッシュアップまで (単行本・ムック) / 佐久田博司/監修 矢吹太朗/著CD&DVD NEOWING
