連載一、クロスサイトスクリプティングについて

１、XSSの仕組み

前置きが長くなってしまったが、XSSの仕組みについて説明する。XSSを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になる。静的なページ、つまり通常のHTMLページではこの問題は起こらない。

２、XSS攻撃の流れ

a, ユーザーが攻撃者の用意したページにアクセスする
b, リンクを含んだページがブラウザに表示される
c, ユーザーがリンクをクリックする
d, ユーザーが（無意識のうちに）攻撃対象のサイトにスクリプトを含んでアクセスする
e, スクリプトを含んだページがブラウザに表示される
f, ユーザーのブラウザ上でスクリプトが実行される

 

３、目的

ユーザもらった情報は 脆弱サイトからみたいですけど、 攻撃者サイトからです。

 

4、特徴

 

これが最も基本的な場合のステップであるが、ほかにもさまざまなバリエーションがある。このステップで一番ネックになりそうなのが1 と3 で、ユーザーが何らかの操作をしなければならないようになっている。しかし、攻撃者は巧妙な仕掛けで無意識のうちにユーザーが1 と3 の動作をしてしまうような仕組みを作るだろう。

 

　例えば、ユーザーがリンクをクリックするのを待つのではなく、自動的に次のページへ飛ぶような方法がある。「このページは移動しまし た。○○秒後に自動的に移動します」といったページを見掛けることがよくあるが、原理はそれと同じである。このようなページを作成しておけば、3 のステップをユーザーが無意識のうちに行わせてしまうことができる。

 

 

参照サイト：http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html