XSS
定義
XSS(クロスサイトスクリプティング)とは攻撃者が悪意のあるJavaScriptコードをWebページに埋め込み、そのページを閲覧した他のユーザーのブラウザで実行させる攻撃です。実行されると、セッションクッキーの窃取(ログイン状態の乗っ取り)・キーロギング・フィッシングフォームの挿入・ページ内容の改ざんなどが行われます。反射型(URLパラメータにスクリプトを仕込みリンクを踏んだ瞬間に発動)・蓄積型(掲示板やコメントに保存され閲覧者全員に影響)・DOMベース(サーバーを経由せずブラウザ側のDOM操作で発動)の3種類があります。CSP(Content Security Policy)ヘッダーで許可するスクリプトの発生源を制限し、出力時のHTMLエスケープ(< > & 等への変換)・HttpOnly属性付きCookieによるセッション窃取防止が主な対策です。
関連用語
同じカテゴリの用語(攻撃手法)
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンと…
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル…
DNSリゾルバのキャッシュに偽の名前解決情報を注入し、正規ドメインへのアクセスを攻撃者が制御するサーバーに誘導する攻撃。…
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取…
WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に…