【これは約 3 分の記事です】
人に見えるところで資格取得勉強しよう、ただそれだけの勉強会を福井県産業情報センターのコワーキングスペースで実施しています。
第121回 資格試験勉強会 in 熊堂(2017年4月7日(金) 19:00~20:30)
今日は、クロスサイトスクリプティングについて
クロスサイトスクリプティングを説明するときには、
- 脆弱性(問題点)のある正規のウェブサイト
- 悪意のある偽サイト
の存在を説明した上で、
脆弱性のあるサイト上のスクリプトとして悪意のあるJavascriptが実行され、それによって悪意のある偽サイトに誘導される
というのが本来の説明です。本来の正規サイトから悪意のある偽サイトへと横断するから「クロスサイト」スクリプティング、字義上はそうです。
ですが、クロスサイトスクリプティング関連の説明ページを見ると、「サイトを横断(クロス)すること」よりも、「本来のサイトに悪意のあるスクリプトが組み込まれる」ことに重点を置いていて、「クロスサイト」については述べられていません。
例えばトレンドマイクロの「クロスサイトスクリプティング」説明
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/xss/index.html
ここでは被害の「一例」として「他の不正サイトへの誘導」が説明されています。つまり、「クロスサイト」することは一例にすぎないのです。
これも説明が足りなくて、単に「クロスサイト」するだけなら画面の遷移に過ぎません。遷移の際に、本来は正規サイトとの通信でなければ知ることができない正規サイトのCookie情報も不正サイトに送られるなどがあるので問題なのです。
とは言え、これは「クロスサイトスクリプティングを字義通りに説明する」ためにはたしかに必要ですが、実際には「本来のサイトに悪意のあるスクリプトが組み込まれる」ことから生じる被害は「クロスサイト」しなくても発生するものもあります。
想定しうる具体例の範囲を狭めないという意味では「悪意のあるスクリプトが実行される」に重きをおくほうが良いのかもしれないと思いつつ、「クロスサイト」で表現されるものの意味からかけ離れてしまって混乱するなあという気持ちはしています。
次回は
2017年4月11日(火) 19:00~20:30
の予定です。
前回は
でした。
Facebookページ
です。ぜひ覗いてみてください。
