前回はWeb開発に不慣れな開発者が行いがちな,
クロスサイトスクリプティングの名称
「クロスサイトスクリプティング」
単語の頭文字を取ると
しかし残念ながらこの名前は直感的な名前とはいえません。初めてこの名前を聞いて,
クロスサイトスクリプティングは悪意のあるJavaScriptコードやVBScriptコードをHTMLやCSSに挿入することにより攻撃を行います。ほかのWebアプリケーション脆弱性の代表である,
主にJavaScriptを挿入する攻撃が多いため,
Internet ExplorerにはVB Scriptのインジェクションも可能なので,
スクリプトインジェクションの原因・ 対策
スクリプトインジェクションはほかのインジェクション攻撃と同じく,
スクリプトインジェクションはHTML生成のバグ,
ブラウザ本体 | Internet Explorer, Firefox, Opera, Safariなど |
---|---|
インタープリタ | JavaScript, VBScriptなど |
プラグイン | Flash, Shockwave, Silverlight, Quicktime, Acrobat, Windows Media Playerなど |
Webアプリケーション開発者としては,
Webアプリケーション開発者は可能な限りブラウザ等のバグを回避し,
ブラウザに対するスクリプトインジェクションの種類
プラグインやブラウザの機能を除くと,
Type0
DOMベーススクリプトインジェクション,
Type1
攻撃用のURLやページを経由して不正なJavaScriptコードを挿入するスクリプトインジェクションです。ブラウザからの入力を適切にバリデーションせず,
Type2
攻撃用のURLやページを経由しないで不正なJavaScriptコードを挿入するスクリプトインジェクションです。Webサイトがブラウザなどからの入力をデータベースなどに保存し,