[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!

第5回 こまっちゃうナ XSSにねらわれて

この記事を読むのに必要な時間:およそ 0.5 分

<前回のお話> 一難去ってまた一難… CSRF対策もばっちり理解してこれで万全と思いきや,さらなる上手「XSS」の登場です。噂ではあんなこともこんなこともできちゃう凄いやつらしいけど,はたしてその実態は!? 敵を知れば百戦危うからずということで,まずは気になるその正体を探っていきましょう!

登場人物紹介

はまちちゃん
さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性。

わかばちゃん
メガネがかわいいネット大好き14歳。プログラムはちんぷんかんぷんだけど,乙女の勘で今日もガンバル。

画像

画像

画像

まとめ

マンガではXSSの被害例として「本名等が盗まれる」といったことが書いてありますが,実際には,それどころで済む話ではなく,アイデア(?)次第で恐るべき被害をもたらすことができてしまいます。XSSによって,ワームのようにWeb上に感染していくトラップなども実際にあったそうです。怖いですね。

入力フォームなどでは,XSS対策がなされているサイトも多いのですが,今回わかばちゃんが見抜いた個所のように,GETリクエストのパラメータなどは,うっかり対策を忘れてしまいがちです。さて,次はいよいよ最終回… XSSの対策編です。ミニスカサンタなわかばちゃんのチラリはあるのか!? おたのしみに!

著者プロフィール

はまちや2(通称はまちちゃん)

mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』

URL:http://d.hatena.ne.jp/Hamachiya2/


竹原(たけはら)

はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。

URL:http://mint37.net

コメント

コメントの記入