【Webサーバに起因するクロスサイトスクリプティング脆弱性(1)】(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

【Webサーバに起因するクロスサイトスクリプティング脆弱性(1)】(執筆:office)

特集 特集

 クロスサイトスクリプティングの脆弱性に関連するWebサイトの危険性については、最近、首相官邸や、総務省や警察庁などの政府系サイトや、UFJ銀行、みずほ銀行などといった、本来最も安全であるべきサイトにも発見され、報道されてきている[1][2][3][4]。この中でも総務省や警察庁のクロスサイトスクリプティング脆弱性は、Webサーバに起因するものであるが、これらは省庁のITセキュリティマネジメントの低劣さを顕著に表しているものである。政府サイトのみならず、co.jpドメインを持つ一般企業のWebサイトにおいても、このようなWebサーバに起因するクロスサイトスクリプティング脆弱性をもつサイトが多数存在することがわかってきた。

 クロスサイトスクリプティング脆弱性というのは、理解されにくい問題でもあるので、ここでまず簡単にその概念を説明しておこう。技術者から見た正確な定義ではなく、一般ユーザから大枠で見た「クロスサイトスクリプティング脆弱性のあるWeb」とは、「サイト作者の意図に反したページ構成を、外部からの入力・操作によって作ることができるようなWeb」ととらえて良いだろう。

 ユーザがサイト外部から行える入力や操作とは、概ねURLをブラウザに入力すること、フォームの入力欄に入力することである。URLやフォームの入力内容によって、どのようなHTMLを返すかはサイト制作者が当然予め設計しているのだが、その設計で想定された範囲を明らかに超えるような、ページ構成を劇的に変化させる効果のある「HTMLタグを勝手に加えること」ができてしまう場合がある。これがクロスサイトスクリプティングの脆弱性と呼ばれるものである。

 外部からタグを加えられて、自由にページ構成を変化させられた場合、どのような問題、危険性があるかという点については、さらに理解されていないことが多く、またサイト運営者やWebアプリケーション作者が意図的に曲解することも多い。

 クロスサイトスクリプティング脆弱性が存在しても、問題にならない場合もあれば、非常に大きな危険を伴う場合もある。その危険性の大きさは、個々のサイトの構成や、サイトの運営方針と照らし合わせて、正しくリスク分析を行わなければ分からないことなのである。クロスサイトスクリプティングが「脆弱性」と呼ばれ、「バグ」「セキュリティ・ホール」「欠陥」とは呼ばれない理由はここにある。

 しかし、クロスサイトスクリプティング脆弱性がもたらす典型的な危険については既にいくつか明らかにされている。クロスサイトスクリプティング脆弱性がもたらしうる危険性として最も有名なのはCookie情報の漏洩であろう。Cookieは特定のWebサーバと、ユーザのブラウザの間でのみやりとり可能な情報で、そのために特定サーバのサービス利用に関するユーザ固有の情報がCookieに保存されている。特に有料サービスなどのログイン情報など、有価的なものと一体となった情報が、Cookieに保存されていることも少なくない。

(つづく)

office
office@ukky.net
http://www.office.ac/

[1] https://www.netsecurity.ne.jp/article/1/4337.html
[2] https://www.netsecurity.ne.jp/article/1/4403.html
[3] https://www.netsecurity.ne.jp/article/1/4636.html
[4] https://www.netsecurity.ne.jp/article/1/3737.html


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×