こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

クロスサイトスクリプティングについて

情報の勉強超初心者です。
教科書に
「標的となるサイトに対して不正なスクリプトを含んだデータを送信させるよう利用者を誘導し、不正なスクリプトを利用者ノブラウザ上で実行させる攻撃」とあります。
しろうとの質問ですみません。
1.これはよく 会社で会社の情報システム部から 発信者のわからないメールは
開かないように とか 添付ファイルをダウンロードしないようになどの
指示と関連しているでしょうか。
2.言葉じりですが 教科書の「利用者を誘導」というのは
具体的にはどのようなメール内容になるのでしょうか。
3.不正なスクリプトというのはどのようなもので どのような害を
およぼすものでしょうか。
4.対応策はどのようなものがあるのでしょうか。

よろしくお願いします。

投稿日時 - 2015-05-24 07:02:00

QNo.8980961

困ってます

質問者が選んだベストアンサー

1.
違います。
クロスサイトスクリプティング (XSSと略します) は、クライアントにブラウザを使用する Web システムの問題(セキュリティホール) であり、メールとは関係がありません。

2.
メールとは関係がありません。

3.
XSS を開設しているページは沢山ありますので、そちらを参照してください。
http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html

4.
XSS は Web システムのセキュリティホールですので、Web システムを修正して対応します。

投稿日時 - 2015-05-24 11:46:53

お礼

いつもわかりやすく まとめていただき感謝です。これから
いただいた回答しっかり読み込み理解しマスターします!

投稿日時 - 2015-05-24 12:43:48

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.2

クロスサイトスクリプティング攻撃の例

例えば、銀行のオンラインバンクのようなサイトがあったとします。そのサイトに、利用者が質疑応答するような簡単な掲示板機能が用意してあったとしましょう。投稿したテキストがそのまま表示されていくようなものです。

悪意ある人間は、まずどこかにサイトを立ち上げます。そこに、利用者のクッキー情報をサーバーに保存し、攻撃者にメールで知らせる、というスクリプトファイルを用意します。

そしてその銀行の掲示板にごく普通の書き込みをして、最後にそのスクリプトファイルを埋め込む<script>タグを書いておきます。<script>タグは画面に表示されないので、そこに仕掛けがあることに誰も気がつきません。

誰か利用者がその掲示板を開くと、そのスクリプトが読み込まれ、その利用者のクッキー情報がサーバーに保存され、攻撃者にメールで知らされます。攻撃者はそのクッキー情報から「セッションID」というものを取り出します。これは、ユーザーがサイトにログインする際、そのユーザーを識別するために割り当てられる固有のIDです。

攻撃者はすぐさまそのセッションIDを自分のブラウザのクッキー情報に書き込んでオンラインバンクにアクセスします。するとセッションIDから、オンラインバンクのサーバーはその攻撃者が掲示板にアクセスした別の利用者だと認識します。いわゆる「なりすまし」です。後は、アクセスしたオンラインバンクで、その利用者の預金を自分の口座に振り込むだけです。

同様に、ネットショップなどでも同じような手口は使えます。また、多くのユーザーはパスワードを使いまわしているので、アカウント管理ページから連絡先のメールアドレスを変更し、「パスワードを忘れた」としてそのメールアドレスにパスワードを送信させれば、使っているパスワードが手に入ります。後はその利用者のメールアドレスとパスワードを使って、ネットショップなど金銭が発生するメジャーなサイトに片っ端からログインしてまわれば、いくつかログインできるところが見つかるでしょう。後は商品を買い放題、すべて別の場所に発送してから換金するだけです。

対応策としては、ユーザーが送信した情報をそのままWebサイトに表示するような処理を用意しないこと。送信された内容は、すべてスクリプトタグなどを無効化する処理をしてから表示するようにすること。これに尽きます。

投稿日時 - 2015-05-24 11:42:18

お礼

銀行の例大変よく理解できました。有難うございます。

投稿日時 - 2015-05-24 12:44:32

-広告-

ANo.1

1.関連ありません。
2.メールの話ではありません。
3.教科書や参考書をお調べください。
4.WEBサイトのソフトウエアを修正する。

投稿日時 - 2015-05-24 07:44:28

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-