![見出し画像](https://assets.st-note.com/production/uploads/images/104083802/rectangle_large_type_2_bf6b01f692ce4df20d3d1fbba3f2c5a4.png?width=1200)
Webアプリケーションンの脆弱性に付け込む!XSS解説!「SG試験要点02」
見出し画像: Avastより
https://academy.avast.com/hubfs/lp/academy/xss.png
XSS:クロスサイトスプリクティング
XSSについて下記図を参照して説明していきます。
![](https://assets.st-note.com/img/1682570576771-UdFh0c5d2a.jpg?width=1200)
https://www.nttpc.co.jp/column/security/cross_site_scripting.html
まず、攻撃者は
脆弱性のあるサーバーに不正なスクリプト(罠)を埋め込みます。
*スクリプト:簡単に実行できる簡易プログラムのようなもの
![](https://assets.st-note.com/production/uploads/images/104069317/picture_pc_c15030fa57dc0543d34c37f0cc3a7870.png?width=1200)
その後、攻撃者は
脆弱性のあるサーバー内に仕掛けた不正スクリプトをユーザーが実行するのを待つ
メールやSNSなどを使ってユーザーに罠リンクを送信(図の①)
などを行い、
ユーザが不正スクリプト(下記図のスクリプト1)を実行してしまうと別のWebサイトに移動(クロス)し、
悪意のあるスクリプト(下記図のスクリプト2)を実行させようとしてきます。
例)
![](https://assets.st-note.com/img/1682576169388-hLpaeNryu4.jpg?width=1200)
https://www.shadan-kun.com/wp2/wp-content/uploads/2021/10/img_xss_03.jpg
これをユーザーが実行してしまうと、個人情報や口座内容、クッキーの内容などが攻撃者に流出してしまうわけです。
ここまでの流れがXSS(クロスサイトスプリクティング)です。
やはり、ユーザ自身は、心当たりのない人からのメールURLは安易に開かないことや、インターネット上で個人情報の入力を求められても安易に入力せずに疑ったりなどが必要だと感じます。
XSSを根本的に対処するためには
XSSは脆弱性のあるサーバーに不正スクリプトを埋め込むところから始まります。そこで不正スクリプトを埋め込ませないためにWAFを導入することにより、サイバー攻撃から、サーバーを守ることにつながります。
WAFとは
”Web Application Firewall”の略で、「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策。Webサーバーの前段に設置して通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。
WAFによって、Webサーバーへのすべての要求はいったん安全かどうかを検査されるため、Webサーバーに不正スクリプト埋め込むところから始まるXSSは通信を遮断され機能しません。
![](https://assets.st-note.com/img/1682583901177-RPIbuX9tjJ.png?width=1200)
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.scutum.jp%2Foutline%2Fwaf.html&psig=AOvVaw3euWhXT534BCP8B-lgznpL&ust=1682670175874000&source=images&cd=vfe&ved=0CA8QjRxqFwoTCJDYx6fRyf4CFQAAAAAdAAAAABAG
この記事が気に入ったらサポートをしてみませんか?