見出し画像

Webアプリケーションンの脆弱性に付け込む!XSS解説!「SG試験要点02」

力点大学生🚀力点に力を入れてます!

見出し画像: Avastより
https://academy.avast.com/hubfs/lp/academy/xss.png

XSS:クロスサイトスプリクティング

XSSについて下記図を参照して説明していきます。

参照:ICT Digital Column クロスサイトスクリプティング(XSS)攻撃の仕組み・原因
https://www.nttpc.co.jp/column/security/cross_site_scripting.html

まず、攻撃者は

脆弱性のあるサーバーに不正なスクリプト(罠)を埋め込みます。
  *スクリプト:簡単に実行できる簡易プログラムのようなもの

その後、攻撃者は

  • 脆弱性のあるサーバー内に仕掛けた不正スクリプトをユーザーが実行するのを待つ

  • メールやSNSなどを使ってユーザーに罠リンクを送信(図の①)

などを行い、

ユーザが不正スクリプト(下記図のスクリプト1)を実行してしまうと別のWebサイトに移動(クロス)し、
悪意のあるスクリプト(下記図のスクリプト2)を実行させようとしてきます。
例)

参照画像:攻撃遮断くん Webアプリケーションがクロスサイトスクリプティングを受けた場合
https://www.shadan-kun.com/wp2/wp-content/uploads/2021/10/img_xss_03.jpg

これをユーザーが実行してしまうと、個人情報や口座内容、クッキーの内容などが攻撃者に流出してしまうわけです。

ここまでの流れがXSS(クロスサイトスプリクティング)です。

やはり、ユーザ自身は、心当たりのない人からのメールURLは安易に開かないことや、インターネット上で個人情報の入力を求められても安易に入力せずに疑ったりなどが必要だと感じます。

XSSを根本的に対処するためには

XSSは脆弱性のあるサーバーに不正スクリプトを埋め込むところから始まります。そこで不正スクリプトを埋め込ませないためにWAFを導入することにより、サイバー攻撃から、サーバーを守ることにつながります。

WAFとは

Web Application Firewall”の略で、「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策。Webサーバーの前段に設置して通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。

キヤノン WAFとは https://canon.jp/business/solution/it-sec/lineup/siteguard/waf

WAFによって、Webサーバーへのすべての要求はいったん安全かどうかを検査されるため、Webサーバーに不正スクリプト埋め込むところから始まるXSSは通信を遮断され機能しません。

参照画像:Scutum WAFとは 
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.scutum.jp%2Foutline%2Fwaf.html&psig=AOvVaw3euWhXT534BCP8B-lgznpL&ust=1682670175874000&source=images&cd=vfe&ved=0CA8QjRxqFwoTCJDYx6fRyf4CFQAAAAAdAAAAABAG


この記事が気に入ったらサポートをしてみませんか?