「クロスサイトスクリプティング」の具体例や説明が「サイト横断」していない|第121回 資格試験勉強会 in 熊堂

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+

【これは約 3 分の記事です】

人に見えるところで資格取得勉強しよう、ただそれだけの勉強会を福井県産業情報センターのコワーキングスペースで実施しています。

第121回 資格試験勉強会 in 熊堂(2017年4月7日(金) 19:00~20:30)

今日は、クロスサイトスクリプティングについて

勉強会タイトルカバー

クロスサイトスクリプティングを説明するときには、

  • 脆弱性(問題点)のある正規のウェブサイト
  • 悪意のある偽サイト

の存在を説明した上で、

脆弱性のあるサイト上のスクリプトとして悪意のあるJavascriptが実行され、それによって悪意のある偽サイトに誘導される

というのが本来の説明です。本来の正規サイトから悪意のある偽サイトへと横断するから「クロスサイト」スクリプティング、字義上はそうです。

ですが、クロスサイトスクリプティング関連の説明ページを見ると、「サイトを横断(クロス)すること」よりも、「本来のサイトに悪意のあるスクリプトが組み込まれる」ことに重点を置いていて、「クロスサイト」については述べられていません。

例えばトレンドマイクロの「クロスサイトスクリプティング」説明

http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/xss/index.html

ここでは被害の「一例」として「他の不正サイトへの誘導」が説明されています。つまり、「クロスサイト」することは一例にすぎないのです。

これも説明が足りなくて、単に「クロスサイト」するだけなら画面の遷移に過ぎません。遷移の際に、本来は正規サイトとの通信でなければ知ることができない正規サイトのCookie情報も不正サイトに送られるなどがあるので問題なのです。

とは言え、これは「クロスサイトスクリプティングを字義通りに説明する」ためにはたしかに必要ですが、実際には「本来のサイトに悪意のあるスクリプトが組み込まれる」ことから生じる被害は「クロスサイト」しなくても発生するものもあります。

想定しうる具体例の範囲を狭めないという意味では「悪意のあるスクリプトが実行される」に重きをおくほうが良いのかもしれないと思いつつ、「クロスサイト」で表現されるものの意味からかけ離れてしまって混乱するなあという気持ちはしています。

次回は

2017年4月11日(火) 19:00~20:30

の予定です。

前回は

2017年4月4日(火) 19:00~20:30

でした。

Facebookページ

資格試験勉強会 in 熊堂(福井)

勉強会Facebookページへのお問合せ
資格取得勉強会へのメッセージ
FacebookMessenger

です。ぜひ覗いてみてください。

佐藤英治

情報処理安全確保支援士第5338号。ネットワークスペシャリスト。防災士。ITコーディネータ。IPA登録セキュリティプレゼンター。

東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用や従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に着物でお話させていただいております。

情報セキュリティの研修・IT関連資格取得支援・コンサルティング・セキュリティアクション宣言の支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。

メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/

セミナーの実績

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+