クロスサイトスクリプティング(XSS)攻撃手法6選、推奨の脆弱性検出ツール3選
マイナビニュース / 2024年7月1日 13時28分
HackerOneはこのほど、「How to Find XSS|HackerOne」において、クロスサイトスクリプティング(XSS: Cross-Site Scripting)の主要な攻撃手法について解説した。クロスサイトスクリプティングは主にWebアプリケーションから発見される脆弱性で、悪用されるとフィッシングサイトへの誘導、機密情報の窃取、リモートコード実行(RCE: Remote Code Execution)などの被害に遭う可能性がある。
○主要なクロスサイトスクリプティング
HackerOneが解説したXSSの主要な攻撃手法は次のとおり。
○反射型クロスサイトスクリプティング(Reflected XSS)
URLに悪意のあるスクリプトを追記して被害者にアクセスさせることで、目的のWebページを表示すると同時に悪意のあるスクリプトを実行させる攻撃手法。WebサイトのCookie情報を窃取可能なため、アカウントを乗っ取られる可能性がある。WebアプリケーションがURLパラメータを適切にサニタイズしないことで発生する。
○蓄積型クロスサイトスクリプティング(Stored XSS)
ユーザー入力を表示に利用する掲示板のようなWebサイトにおいて、入力データを適切にサニタイズせずに保存することで発生する脆弱性。攻撃者は悪意のあるスクリプトを投稿し、Webページにアクセスしたすべてのユーザーに悪意のあるスクリプトを実行させる。
○ブラインドクロスサイトスクリプティング(Blind XSS)
蓄積型クロスサイトスクリプティングの一種。悪意のあるスクリプトを保存させる手法は同じだが、WebページではなくWebアプリケーションのバックエンドや他のアプリケーションを標的にする。わかりやすい例では、企業の問い合わせページから悪意のあるスクリプトを投稿し、サポート担当者のブラウザー上で悪意のあるスクリプトを実行させる。
○DOMベースのクロスサイトスクリプティング(DOM-based XSS)
上記3つはサーバ側の脆弱性だが、これはクライアント側の脆弱性。ブラウザ上のJavaScriptがDOM(HTML)を操作する際に、ユーザー入力を適切にサニタイズしないことで意図しない表示や悪意のあるJavaScriptを実行する。
HackerOneは上記以外にも珍しい例として「PDFのXSS」や「ElectronアプリケーションにおけるXSS」を解説している。いずれも重大な結果につながる可能性があることから、これらをWebアプリケーションから扱う際には注意することが望まれている。
○脆弱性の検出
XSSの脆弱性を検出するには、Webアプリケーションの入出力処理を根気よくすべて調査する必要がある。HackerOneは作業を支援できる自動検出ツールとしてDalfox、XSStrike、xsshunterの3種類を挙げている。これらはそれぞれ異なるクロスサイトスクリプティングの脆弱性の検出を得意としている。
自動検出ツールでは対応できない複雑なWebアプリケーションから脆弱性を検出するには手作業で対応する必要がある。この作業には多くの時間と労力を必要とするが、脆弱性は無視できないため可能な限り発見に務めることが推奨されている。なお、資金力のある企業は時間の節約および開発者の負担軽減のために報奨金プログラムを採用しており、未採用の企業には採用に向けた前向きな検討が望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
WindowsのMSCファイルに任意のJavaScript実行の脆弱性、注意を
マイナビニュース / 2024年6月27日 7時46分
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
トレンドマイクロの複数製品に脆弱性、アップデートを - JPCERT/CC注意喚起
マイナビニュース / 2024年6月20日 17時41分
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
ドーモ、サイバーセキュリティ診断サービス「GMOサイバー攻撃 ネットde診断」提供
マイナビニュース / 2024年6月5日 17時57分
ランキング
-
1迷惑メール転送すると送信元が行政処分される? Xでアドレス拡散、宛先の「迷惑メール相談センター」が明かす実情
J-CASTニュース / 2024年7月2日 11時0分
-
2新紙幣「一万円札と千円札の1の字が違う」SNSに違和感覚えるという声も…… 「1」のデザインが違う理由は?
ねとらぼ / 2024年7月3日 18時15分
-
3老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
4藤本美貴&庄司智春、真っ昼間に変装ゼロで“腕絡め”デート 大勢の注目浴びるも“モザイク9割”の結果で「笑った」
ねとらぼ / 2024年7月2日 15時1分
-
5中小企業の社内Wi-Fi接続、約半数が「つながりにくさ」を実感‐対処法は?
マイナビニュース / 2024年7月3日 11時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください