マンガでわかる「おしえて！WAFくん」WAFで防げる攻撃～クロスサイトスクリプティング（XSS）編～

クロスサイトスクリプティングとはWebアプリケーションの脆弱性のひとつです。

悪意のある攻撃者が罠を仕掛けたWebサイトと、クロスサイトスクリプティングの脆弱性がある別のWebサイト、2つのサイトを横断（クロスサイト）して攻撃をする手法をクロスサイトスクリプティング攻撃といいます。英語表記では「Cross Site Scripting」ですが、略称として「XSS」と表記されることがあります。

アンケートサイトやサイト内検索、ブログ、掲示板などユーザーからの入力内容をもとにWebページを生成するサイトやSNSなど、動的にページを生成するWebページ（Webアプリケーション）で、外部から悪意のあるスクリプトを挿入されてしまうことで発生します。

クロスサイトスクリプティング攻撃にあうと、以下のような被害にあう恐れがあります。

・偽の入力フォームが表示され、気が付かずフォームを送信することでIDやパスワードといった個人情報が漏えいしてしまう

・偽の情報が表示され、誤った情報が流布してしまう

・セッション情報を取得され、攻撃者が不正にログインし悪用されてしまう（なりすまし等）

・攻撃者のサイトにリダイレクトし、意図せずマルウェアをダウンロードしてしまう

攻撃を受けてしまうと、自社だけでなくユーザーにも被害が及ぶ可能性のある危険性の高い脆弱性です。

一般的には、特殊な文字を無害な文字へ書き換えるエスケープ処理や、入力値を制限するなどの対策が有効です。

また、Webアプリケーションの脆弱性を狙った攻撃を防ぐ「WAF」を導入するという方法もあります。

本マンガに補足説明を加えたPDF資料をダウンロードできます。

目次

・メッセージ
・マンガでわかる　おしえて！WAFくん
WAFで防げる攻撃　～クロスサイトスクリプティング編～
・世界中から日々サイバー攻撃を受けている！
・クロスサイトスクリプティング（XSS）って？
・あちこちに仕掛けられているXSS攻撃
・どんな被害にあうの？
・XSS攻撃を防ぐためには
・WAFって？

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
SQLインジェクション、ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

攻撃遮断くんの資料をダウンロード