エックス‐エス‐エス【XSS】
読み方:えっくすえすえす
《cross site scripting》⇒クロスサイトスクリプティング
クロスサイト‐スクリプティング【cross site scripting】
クロスサイト・スクリプティング【cross-site scripting】
XSS クロスサイトスクリプティング
XSS
別名:クロスサイトスクリプティング
XSSとは、Webサイトの脆弱性を利用した攻撃手法の一種で、入力フォームなどから悪意あるスクリプトを挿入して、該当ページを閲覧したブラウザ上でそのスクリプトを実行させる手法のことである。
XSSの脆弱性を利用すると、任意の命令や閲覧者のWebブラウザ上で実行させたり、HTMLを表示させたりすることができる、これにより、改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組んだりといった操作も可能になる。
XSSは、掲示板の入力欄は検索ボックスといった、ユーザーからの入力を受け付ける機能において、特殊文字のエスケープなどが適切に行われていない場合などに悪用可能となる。もともとはWebサイトを横断して実行させることが可能であるという点が特徴とされていたが、最近ではWwbサイトを横断可能であるかどうかを問わず、サイトに任意にスクリプトを挿入させて実行できる脆弱性を広く指す場合が多い。
また、ユーザーを騙して誘導し、悪意あるコードをユーザー自身に入力させる手法は、「セルフXSS」と呼ばれている。2011年には、SNS最大手であるFacebookなどでもセルフXSSの攻撃が多く発見されており、Facebook側では不審なURLに対してユーザーに警告するなどの対応を追加している。
クロスサイトスクリプティング
(Cross Site Scripting から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/07/21 10:00 UTC 版)
クロスサイトスクリプティング(英: cross-site scripting)とは、Webアプリケーションの脆弱性[1]もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)[2]。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった[1]。
- ^ a b c d e f g h i j k l m n o p q r s CWE-79 2011.
- ^ 共通脆弱性タイプ一覧CWE概説。IPA
- ^ a b c d e f g h 金床 2007, p. 3章冒頭部.
- ^ IT用語辞典e-words「クロスサイトスクリプティング」 2016/09/12閲覧
- ^ a b c 金床 2007, p. 3章『攻撃の概要』節.
- ^ a b c d e f g IPA 2014.
- ^ a b c d IPA 2011.
- ^ 金床 2007, p. 第三章「攻撃の概要」節.
- ^ a b 徳丸 2011, p. 91.
- ^ a b c d 徳丸 2011, p. 106.
- ^ IPA 2015, p. 22-29.
- ^ a b IPA 2013, p. 5-8.
- ^ IPA 2013, p. 10.
- ^ “あまり知られていない脆弱性:DOM Based XSSにご用心”. アークウェブ (2007年2月16日). 2016年9月12日閲覧。
- ^ 徳丸 2011, p. 100-101.
- 1 クロスサイトスクリプティングとは
- 2 クロスサイトスクリプティングの概要
- 3 XSSの被害
- 4 攻撃手法の分類
- 5 対策
- 6 脚注
- Cross Site Scriptingのページへのリンク