XSS攻撃の目的と特徴づけ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)
「クロスサイトスクリプティング」の記事における「XSS攻撃の目的と特徴づけ」の解説
XSS攻撃は、ウェブサイト(標的サイト)の脆弱性(XSS脆弱性)を利用する事で、標的サイトの権限で悪意のあるコンテンツ(多くの場合スクリプト)を実行する事を目的として行われる。悪意のあるコンテンツは標的サイトの権限で実行されるので、同一生成元ポリシーによる制限が迂回される。これを悪用する事により攻撃者は標的サイトを閲覧したユーザ(=被害者)のcookieを盗むなど、様々な攻撃を行う。 CWE-79ではXSS攻撃を以下のような攻撃として特徴づけており、XSS脆弱性をXSS攻撃を可能にする脆弱性として特徴づけている。XSS攻撃を行う攻撃者は標的サイトへのデータ入力経路に不正なデータを注入(インジェクション)する。ここでいう「データ入力経路」は正規のユーザのために用意された入力経路(例えばフォーム)の場合もあればそうでない場合もあり、標的サイトのウェブアプリケーションへのWebリクエスト全般が狙われる。また不正なデータはスクリプトなどWebブラウザで実行可能な悪意のあるコンテンツを含んだものが用いられる。 このインジェクションの結果、標的サイトのウェブサーバが攻撃者の用意した不正データを含んだウェブページを動的に生成する。この生成されたウェブページを被害者となるユーザが閲覧すると、不正なデータに含まれる悪意のあるコンテンツが標的サイトの権限により被害者のブラウザ上で実行され、攻撃が成功する。 XSS攻撃に用いる「Webブラウザで実行可能なコンテンツ」は何らかのスクリプトである事が多いので、本稿では以下、特に断りがない限りスクリプトのケースについて述べる。
※この「XSS攻撃の目的と特徴づけ」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「XSS攻撃の目的と特徴づけ」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。
- XSS攻撃の目的と特徴づけのページへのリンク
