PHP逆引き大全 516の極意

セキュアプログラミングの極意 - Tips460 クロスサイトスクリプティング(XSS)の概要を理解する

登録タグ
PHP
Icon comment count 0
Icon stock count 0

7-6安全な表示処理Tips460 クロスサイトスクリプティング(XSS)の概要を理解する

Level2

Pointなりすまし、操作の強要、ページ改ざんなどのリスクがあることを把握する

2つ以上のサイトをまたがって、脆弱なサイトに悪意のあるスクリプトを混入させることをクロスサイトスクリプティング(Cross Site Scripting)といいます。表記上は略してXSSと記述することが一般的です。

XSSにより、下記のような不正行為が可能です。

  • クッキーの値を取得することでセッションハイジャックを成功させ、被害者になりすます。
  • 攻撃対象のサイト上で、被害者が意図しない操作を強いる。
  • Javascriptなどでページ全体を変更し、フォームの送信先や送信項目を変えるなどすることで、被害者の個人情報を盗みだす。

外部からの入力を信用し適切なエスケープをせず画面上に表示していることが、XSS脆弱性の主な原因です。

出典情報

Medium

PHP逆引き大全 516の極意

  • 著者: 大家 正登, 茂木 健一, 鮫島 康浩, 谷中 志織

コメント

    コメントはありません