サイバー攻撃（XSS）を知っておこう

こんにちは！山本です

ゴールデンウィーク真っ只中ですが、コロナもあって仕事意外にやることがなさそうなので、、、入社してから１ヶ月間で学んだことを整理してNoteにまとめていこうと思います

今回は、プログラム関係でWebアプリを作るなら知っておきたい　　

サイバー攻撃

についてです。その中でも代表的なサイバー攻撃の手段の一つである

XSS (クロスサイトスクリプティング)

を紹介します

XSS(クロスサイトスクリプティング)・・・プログラムやWebアプリを触っている方なら常識だとは思いますが、非常に有名なサイバー攻撃だそうです

自分もWebアプリを作った時に、エンジニアの先輩にサイバー攻撃されるまで知りませんでした💦

XSSは、セキュリティの弱いWebサイトに悪意のある第三者が偽物のページを作って、サイト訪問者の個人情報を盗むなどの被害をもたらすサイバー攻撃です

仕組みを説明していきます

まず、Webサイトの入力欄には文字を入力して保存しますよね？

例えばユーザー欄にはユーザー名を、パスワード欄にはパスワードを入力しますが、その入力欄が悪意のある人の作った偽物ページだったら、入力した情報を盗み取られてしまいます

セキュリティの弱いWebサイトの最大の問題点はこのような偽物ページに移動させたり、「違法サイトにログインしました」のようなページ（通知）が出てしまうことです

ページの入力欄が＜HTMLタグ＞を解釈するブラウザの場合はHTMLタグで囲まれたコードをjavascriptとして認識し、コードを実行するので違法サイトを表示できてしまうのです

自分も先輩エンジニアの方に、Webアプリのログイン欄にXSS攻撃をされて、別画面を表示されてしまいました💦。

対策

根本的な解決方法は投稿などを保存した時に、POST送信で送信された文字列に対してエスケープ処理をすることです。エスケープ処理をする事で、HTMLタグの

＜

などの文字列が

&It;

に置き換えられます。これによってブラウザがコードを理解できなくなるため、XSS攻撃が実行されなくなります！

コロナの影響もあってネットショップを開設したり、自分のサイトを作る人が増えてくると思いますが、大切なファンやお客様の情報を守るために 気を付けていきましょう

それでは、また！🍙_(:3 」∠)_