セキュリティ
クロスサイトスクリプティング
ソフトウェアのセキュリティホールを利用して、Webサイトに悪意のあるコードを埋め込む攻撃。悪意のあるコードを埋め込まれたWebサイトを閲覧し、掲示板やWebフォームに入力したときなどに、個人情報が盗み出されたりコンピュータ上のファイルが破壊されたりする。
対策としては、特別の意味を持つ記号がユーザの入力した文字列の中に入っていた場合、別の文字に置き換える処理(エスケープ処理)を追加したり、Webアプリケーションに特化したファイアウォール(WAF)を導入したりする。
出題例
平成24年秋 問60
クロスサイトスクリプティングの特徴に関する記述として、適切なものはどれか。
ア Webサイトに入力されたデータに含まれる悪意あるスクリプトを、そのままWebブラウザに送ってしまうという脆弱性を利用する。
イ 入力されたデータの長さをチェックしていないWebサイト上のアプリケーションに対し、長すぎるデータを送りつける。
ウ 有用なソフトウェアに見せかけて利用者にインストールさせ、コンピュータに侵入する。
エ ワープロソフトや表計算ソフトの操作手順を記録し、呼び出して実行する機能を不正に利用する。
正解 ア