WEBページの出力処理に関する攻撃「クロスサイトスクリプティング」の解説と対策方法をまとめてみた

2020.03.16

セキュリティ対策

WEBページの出力処理に関する攻撃「クロスサイトスクリプティング」の解説と対策方法をまとめてみた

今回は、代表的なサイバー攻撃の1つであるクロスサイトスクリプティングについてご説明したいと思います。どのような被害が起きてしまうのか、またクロスサイトスクリプティングの対処法について参考になれば幸いです。

概要

クロスサイトスクリプティングは、WEBページの出力処理に関する攻撃です。webサイトの多くは、スクリプトと呼ばれるプログラムに従うことでシステムを稼働させています。

そのスクリプトを悪用して脆弱性を引き起こすサイバー攻撃がクロスサイトスクリプティングというわけです。

クロスサイトスクリプティングの脆弱性が存在する場合、利用者のブラウザ上で不正なスクリプト等が実行され、「WEBページが改ざんされる」、「Cookie情報が漏洩する」などの問題が発生する可能性があります。

攻撃手法

クロスサイトスクリプティングの攻撃方法や特徴について紹介します。

例えば、掲示板を提供しているWEBサイトで、コメントフォームにメッセージを入力し、「コメント」ボタンを押下すると入力したメッセージが掲示板に表示されるとします。
この際、フォームに「<script>alert(document.cookie)</script>」を入力して「コメント」ボタンを押下すると、画面の表示時にJavascriptが実行され、クッキー情報がポップアップ画面に表示されてしまいます。
このような脆弱性を利用して、攻撃者が用意した、悪意のあるサイトのページを利用者が閲覧したタイミングで、利用者のクッキー情報が盗みだされてしまうことがあります。
また、コメントフォームにHTMLを記述することで、掲示板に本来存在しない入力エリアを表示させるというように、WEBページを改ざんすることも可能です。

対策

クロスサイトスクリプティングを予防するには、不正なスクリプトを機能させないことが重要です。
クロスサイトスクリプティングの脆弱性が存在する原因は「」といった、WEBページにおいて特殊な役割を果たす記号が本来とは異なる形で解釈されるためです。
上記の例でいえば、コメントフォームに入力された内容は、本来、JavascriptやHTMLとして解釈されるのではなく、単なる「コメント」として解釈されるべきです。しかし、「」といった文字列が特殊な記号として解釈された結果、想定外のスクリプトの実行やHTMLの生成が発生してしまいます。

このため対策としては、「」といった記号を特殊な記号としてではなく、単なる文字列として解釈するように変換(エスケープ)が必要です。具体的には、「」を、「&lt;」や「&gt;」といった文字列に変換した上でWEBページに表示することで、エスケープすることが可能です。
エスケープの実施漏れを防ぐために、エスケープ処理については、WEBページの入力値だけでなく、文字列としてWEBページに表示する全てに対して一貫して実施することが推奨されます。
※新しいページを作成したり既存のページを修正するたびに、脆弱性があるかどうかでエスケープの実施有無を判断していると、徹底できずに漏れが発生してしまうリスクが高くなってしまいます。

サイバー攻撃を防ぐセキュリティ対策

Webアプリケーション・Webサイトへのサイバー攻撃を防ぐセキュリティ対策として、WAFがおすすめです。
WAFを導入することで上記で紹介したクロスサイトスクリプティング攻撃などのブロックが可能になります。なかでもクラウド型WAFは初期・運用コストが小さいため、手軽に対策できます。
クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

今回はクロスサイトスクリプティングについてご紹介しました。
サイバー攻撃は厄介な問題でありますが、一つ一つ対処していくことで被害を未然に防ぐことが出来ます。ぜひ、今回の情報がお役に立てば幸いです。
次回も、主要なサイバー攻撃について取り上げていこうと思います。

 

サイバーセキュリティ クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 
(2016/12/27 執筆、2020/3/16修正・加筆)


テック


  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード

この記事と一緒に読まれています