XSS
定義
XSS(クロスサイトスクリプティング)とは攻撃者が悪意のあるJavaScriptコードをWebページに埋め込み、そのページを閲覧した他のユーザーのブラウザで実行させる攻撃です。実行されると、セッションクッキーの窃取(ログイン状態の乗っ取り)・キーロギング・フィッシングフォームの挿入・ページ内容の改ざんなどが行われます。反射型(URLパラメータにスクリプトを仕込みリンクを踏んだ瞬間に発動)・蓄積型(掲示板やコメントに保存され閲覧者全員に影響)・DOMベース(サーバーを経由せずブラウザ側のDOM操作で発動)の3種類があります。CSP(Content Security Policy)ヘッダーで許可するスクリプトの発生源を制限し、出力時のHTMLエスケープ(< > & 等への変換)・HttpOnly属性付きCookieによるセッション窃取防止が主な対策です。
関連用語
よくある質問
XSSとは?
攻撃者が悪意のあるスクリプトをWebページに埋め込み、他ユーザーのブラウザで実行させる攻撃。反射型・蓄積型・DOMベースの3種類がある。CSPとHTMLエスケープで対策する。
同じカテゴリの用語(攻撃手法)
攻撃者が正規サービスと利用者の間に入り、認証情報やセッションを中継・窃取するフィッシング手法。…
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
取引先や経営者になりすまして送金、請求書変更、機密情報送付を促すビジネスメール詐欺。…
実在ブランド、取引先、社内組織になりすまし、利用者に誤操作や情報入力を促す攻撃。…
ログインID、パスワード、トークン、MFAコードなどの認証情報を大量または継続的に収集する行為。…
他サービスから漏えいしたIDとパスワードの組み合わせを使い、別サービスへのログインを試す攻撃。…