叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

クロスサイトスクリプティング(XSS):気になる情報セキュリティ用語

クロスサイトスクリプティング(Cross Site Scripting)は、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、ユーザーのパソコンの個人情報を搾取する攻撃方法です。

略称として「XSS」と表記する場合もあります。

クロスサイトスクリプティングの例

XSSの対策としては、サニタイジング(スクリプトの無害化)があります。サニタイジングは、&,<,>,”,’といったスクリプトに使われる特殊文字に着目し、これらが文字列としてそのまま画面に表示されるように置換し、スクリプトを無害化させます。

クロスサイトスクリプティングに該当するものはどれか。

Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除を可能とする。
Webサイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする。
確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする。
攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。
~「情報セキュリティマネジメント・平成28年春期」より





答え:エ
ア:SQLインジェクション、イ:DoS攻撃、ウ:バッファオーバフロー、エ:クロスサイトスクリプティング となります。