【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.25(火)

【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜

 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害

特集 特集
 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害を受けることである。また、最近問題として筆者が注目しているのは、該当ページを閲覧したユーザが、知らないうちに他サイトを攻撃してしまうこともあるということだ。サーバに侵入されることがなく、直接の被害を受けないからといって軽視はできない。Web閲覧者や、攻撃を受けたサイトから訴えられる可能性もある。

 クロスサイトスクリプティング脆弱性のないセキュアなプログラムを開発するのに必要なことは、他のセキュアプログラミングと全く変わりなく、単にユーザ入力されたものをきちんとチェックするというだけのことである。クロスサイトスクリプティング脆弱性が発生するのは、Webへの出力に関してであるから、Web出力時に不都合なデータ内容でないかを検査し、エスケープ処理を行えばよい。

 クロスサイトスクリプティング脆弱性の原因は、ユーザが入力した文字列をWebページとして出力する際に、cgi作成者が全く意図しないHTMLタグやJavaScriptコードが出力されてしまうことである。従って、ユーザ入力された文字列を出力する際に、その文字列にHTMLタグやJavaScriptコードが含まれないように適切にエスケープしなければならない。

office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×