おしえて!WAFくん おしえて!WAFくん
第5話

マンガでわかる「おしえて!WAFくん」WAFで防げる攻撃~クロスサイトスクリプティング(XSS)編~

 

 

キャラクター紹介

  • WAF(ワフ)くん

    WAF(ワフ)くん

    WAF(ワフ)をみんなに知ってもらうため、どこからともなく現れてはワフワフ言う犬。公開されているWebアプリケーションを守ることが使命。

  • アプリス

    アプリス

    サイバー攻撃に狙われがちな、あざと可愛い系を狙うがボロがてしまう脆くて弱い一面を持つリス。食べものに目がない。

クロスサイトスクリプティング(XSS)攻撃を解説!

2023年2月執筆

クロスサイトスクリプティング(XSS)とは?

クロスサイトスクリプティングとはWebアプリケーションの脆弱性のひとつです。

 

悪意のある攻撃者が罠を仕掛けたWebサイトと、クロスサイトスクリプティングの脆弱性がある別のWebサイト、2つのサイトを横断(クロスサイト)して攻撃をする手法をクロスサイトスクリプティング攻撃といいます。英語表記では「Cross Site Scripting」ですが、略称として「XSS」と表記されることがあります。

 

アンケートサイトやサイト内検索、ブログ、掲示板などユーザーからの入力内容をもとにWebページを生成するサイトやSNSなど、動的にページを生成するWebページ(Webアプリケーション)で、外部から悪意のあるスクリプトを挿入されてしまうことで発生します。

 

 

 

 

クロスサイトスクリプティング攻撃にあうと、以下のような被害にあう恐れがあります。

 

・偽の入力フォームが表示され、気が付かずフォームを送信することでIDやパスワードといった個人情報が漏えいしてしまう

 

・偽の情報が表示され、誤った情報が流布してしまう

 

・セッション情報を取得され、攻撃者が不正にログインし悪用されてしまう(なりすまし等)

 

・攻撃者のサイトにリダイレクトし、意図せずマルウェアをダウンロードしてしまう

 

 

攻撃を受けてしまうと、自社だけでなくユーザーにも被害が及ぶ可能性のある危険性の高い脆弱性です。

 

XSS攻撃への対策

一般的には、特殊な文字を無害な文字へ書き換えるエスケープ処理や、入力値を制限するなどの対策が有効です。

また、Webアプリケーションの脆弱性を狙った攻撃を防ぐ「WAF」を導入するという方法もあります。

PDFでダウンロード

本マンガに補足説明を加えたPDF資料をダウンロードできます。

目次

・メッセージ
・マンガでわかる おしえて!WAFくん
WAFで防げる攻撃 ~クロスサイトスクリプティング編~
・世界中から日々サイバー攻撃を受けている!
・クロスサイトスクリプティング(XSS)って?
・あちこちに仕掛けられているXSS攻撃
・どんな被害にあうの?
・XSS攻撃を防ぐためには
・WAFって?

クラウド型WAFなら!「攻撃遮断くん」

SaaS型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
SQLインジェクション、ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

 

攻撃遮断くんの資料をダウンロード

この記事と一緒に読まれています