行政書士と脆弱性(サイバー攻撃)⑭
XSS(クロスサイト・スプリクティング)の手法には次の3種があ。
①反射型XSS
②持続的XSS
③DOM Based XSS
いずれも、Webページに入力したHTMLやJavascriptなどがそのまま反映される箇所を悪用して乗っ取りを行う(セッション・ハイジャックー悪意のあるHTMLやJavascriptを埋め込む)手法である。
反射型XSSは、作動するのは一過性であるが、持続型XSSは持続的に作動する。つまり、持続的XSSはWebサーバーに持続的に悪意のあるコードが保存される。悪意のあるコードは削除しないかぎりWebに残り続けるのである。問題なのは、一般ユーザを攻撃者用意した悪性Webサイトに誘導してしまうことである。不運にも一般ユーザが悪性Webサイト(自動的に転送するHTMLやJavascriptが埋め込まれているサイト)に転送されてしまうこになる。悪性Webサイトで行われることは様々であるが、攻撃が、対象ユーザに悟られないしくみになっている。
③のDOM Based XSSは、DOMとは、HTMLなど文書の各要素にアクセスするしくみである。DOM Based XSSはこのしくみを利用して行う攻撃方法である。具体的な悪用方法については説明を行わない。最近では、各Webブラウザには「Xssフィルター」と呼ばれる機能が備えられている。