クロスサイトスクリプティングは、攻撃者がスクリプトをウェブページに埋め込むこと等により、そのウェブ管理者の意図しない動作をユーザのウェブブラウザ上で実行させる手法のひとつです。 攻撃者は、外部からスクリプトを埋め込むことのできるウェブページを踏み台として使用することで、ユーザのウェブブラウザ上で悪意あるスクリプトを実行させることが可能になります。結果として、ユーザの認証情報や入力内容を第三者のサイトに送信してしまうなどの可能性があります。 ウェブ管理者は、自身が管理するコンテンツにクロスサイトスクリプティングの脆弱性が潜んでいないか注意し、新しいコンテンツを公開する際には事前にチェックしましょう。
参考文書(日本語)
-
独立行政法人 情報処理推進機構 セキュリティセンター
「安全なウェブサイトの作り方 改訂第3版」を公開
http://www.ipa.go.jp/security/vuln/websecurity.html
-
財団法人 地方自治情報センター (LASDEC)
ウェブ健康診断
http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
-
JPCERT/CC
ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編
https://www.jpcert.or.jp/vh/vuln_website_guide.pdf
-
JPCERT/CC
技術メモ - 安全な Web ブラウザの使い方
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf
Weekly Report 2009-05-13号 に掲載