XSS脆弱性とXSS攻撃の詳細とは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > ウィキペディア小見出し辞書 > XSS脆弱性とXSS攻撃の詳細の意味・解説 

XSS脆弱性とXSS攻撃の詳細

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)

クロスサイトスクリプティング」の記事における「XSS脆弱性とXSS攻撃の詳細」の解説

本節ではXSS脆弱性とXSS攻撃の詳細を具体例通して述べる。すでに述べたように、ウェブサイトではユーザフォームなどで入力した値を変数として持ち変数セットされた値に応じてその後動的なページ内容生成が行われ、その際には変数値そのものページ表示されることもある。XSS脆弱性簡単な例としてはユーザが値を決定できる変数値加工せずそのままウェブページ表示エコーバック)してしまうというものがある。具体的には以下のようなシチュエーションXSS脆弱性生じる事が多い: ユーザ入力した内容確認訂正させるページ 検索結果表示 エラー表示 ブログ掲示板におけるコメント反映 そこで最初に挙げた確認ページシチュエーションにおける脆弱性利用したXSS攻撃の例を述べる。今、標的サイト example.comウェブページユーザ性別選択させるフォームがあり、そのページではユーザ選択した値("man"もしくは"woman")を変数genderそのまま保管しgender内容を以下のようにそのまま表示する事でフォーム内容ユーザ再確認させるページ動的に生成するとする(再確認ページURLフォームのあるページURL同一でも異なってもよい)。 入力した性別は以下のもので正しでしょうか: (genderの値) 具体的にはたとえばPHP もしくは というスクリプト書かれていた場合である。 このようなページにおいて、攻撃者何らかの方法genderの値を gender=セット(=スクリプトインジェクション詳細後述)し、この状態で被害者となるユーザがこのページアクセスしてしまうとXSS攻撃成功となる。 実際標的サイトウェブページには、変数genderの値をそのまま表示するページ動的に生成してしまうという脆弱性があるので、攻撃者前述のようにgenderセットした状態で被害者となるユーザがこのページ閲覧してしまうと、ウェブサイト動的に生成したHTML 入力した性別は以下のもので正しでしょうか被害者ブラウザ送りつけてくるため、悪意のあるスクリプト被害者ブラウザ上で自動的に実行されてしまう。 なお、ウェブサイト作者genderの値としてフォーム準備した値が「man」と「woman」の2つけだったとしても、実際にgenderセットされた値が「man」か「woman」のいずれかであることを、ウェブサイト置いているサーバ側でチェックしない限り攻撃者それ以外の値(=悪意のあるスクリプト)にgenderセット可能である。

※この「XSS脆弱性とXSS攻撃の詳細」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「XSS脆弱性とXSS攻撃の詳細」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。

ウィキペディア小見出し辞書の「XSS脆弱性とXSS攻撃の詳細」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。 お問い合わせ



英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「XSS脆弱性とXSS攻撃の詳細」の関連用語

XSS脆弱性とXSS攻撃の詳細のお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



XSS脆弱性とXSS攻撃の詳細のページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
Text is available under GNU Free Documentation License (GFDL).
Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのクロスサイトスクリプティング (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

©2025 GRAS Group, Inc.RSS