[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!
第5回 こまっちゃうナ XSSにねらわれて
<前回のお話> 一難去ってまた一難… CSRF対策もばっちり理解してこれで万全と思いきや,さらなる上手「XSS」の登場です。噂ではあんなこともこんなこともできちゃう凄いやつらしいけど,はたしてその実態は!? 敵を知れば百戦危うからずということで,まずは気になるその正体を探っていきましょう!
登場人物紹介
- はまちちゃん
- さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性。
- わかばちゃん
- メガネがかわいいネット大好き14歳。プログラムはちんぷんかんぷんだけど,乙女の勘で今日もガンバル。
まとめ
マンガではXSSの被害例として「本名等が盗まれる」といったことが書いてありますが,実際には,それどころで済む話ではなく,アイデア(?)次第で恐るべき被害をもたらすことができてしまいます。XSSによって,ワームのようにWeb上に感染していくトラップなども実際にあったそうです。怖いですね。
入力フォームなどでは,XSS対策がなされているサイトも多いのですが,今回わかばちゃんが見抜いた個所のように,GETリクエストのパラメータなどは,うっかり対策を忘れてしまいがちです。さて,次はいよいよ最終回… XSSの対策編です。ミニスカサンタなわかばちゃんのチラリはあるのか!? おたのしみに!
はまちや2(通称はまちちゃん)
mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』
竹原(たけはら)
はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!
- 最終回 XSSの正体見たり 騙りタグ
- 第5回 こまっちゃうナ XSSにねらわれて
- 第4回 CSRF対策完結編~トークンでトークしよう!
- 第3回 CSRFの対策法ってどんなもの?
- 第2回 しーさーふって何ですか?
- 第1回 HTTPのしくみを復習しよう
