前回のSQLインジェクションに続き、Webアプリケーションの中で最も有名な脆弱性の一つであるクロスサイトスクリプティングについて説明していきます。

■概要
Webアプリケーションはユーザからの様々な入力情報を処理し、Webページとして出力するものがあります。
その際、Webページの出力処理に不備があるとスクリプトを実行してしまう恐れがあります。
攻撃者はこの不備を利用して、ユーザに悪意あるスクリプトを実行させようとします。

■想定される被害
クロスサイトスクリプティングによって生じる被害には、以下のようなものがあります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・Webサイトの改ざん
・偽サイトへの誘導によるフィッシング
・ブラウザに保存しているCookieの取得（セッションハイジャック）

■対策
クロスサイトスクリプティングの対策として挙げられるものは以下のようなものとなります。

・サニタイジング(スクリプトの無害化)を行う。
・入力値をチェックして、制限する。
・WAF（Web Application Firewall）を導入する。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　バッファオーバーフロー - 2024年3月31日
• パスワードリセットの不備 - 2024年2月29日
• 脆弱性の種類　セッション管理の不備 - 2024年1月31日