クロスサイト・スクリプティング(Cross-site Scripting)とは、悪意のあるサイトと正規のサイトを横断(クロスサイト)して、スクリプトを実行(スクリプティング)させ、情報を詐取する手口です。
Webページの入力テキストボックスなどに、JavaスクリプトやHTMLコードなどを入力すると、それがページに組み込まれて、入力者の意図した処理を行うことができます。
それを悪用すると、次の手順により、個人情報を入手することができます。同じような方法で、ウイルスを侵入させることもできます。
- ① Aは、フィッシングなどの手口により、利用者BにAの悪意のページをアクセスするように仕向ける。
- ② このページには、Cのサイトへ送る情報の宛先をAに変更するスクリプトが組み込まれており、このページを閲覧すると、Cへ転送する機能を持っている。
- ③ Bは、自分が気づかないままにCへそれを転送する。するとCの正規のページが不正のページに変換される。
- ④ それがBに送られて実行される。すなわち、Cへの宛先がAに変更されている。
- ⑤ BはCのサイトを信用している(しかも表示されているページのURLは、正しくCのURLである)ので、パスワードやクレジット番号などを送信する。あるいは、クッキーを受け入れる。
- ⑥ これらの情報はAの指定した宛先に送信される。すなわち、Bは気づかないうちに個人情報をAに漏洩してしまう。あるいは、ウイルスの侵入をゆるしてしまう。
CSRF(クロスサイト・スクリプティング・フォージェリ)
forgeryとは「偽造」のこと。「利用者が意図しない処理」を「正規のWebページで実行させてしまう」攻撃手法です。
クロスサイト・スクリプティングと似ています。
④までは同じです。
⑤ クッキーにより、Aが作成した偽のメッセージがCの正規のページに送られる。
⑥ 正規ページで偽メッセージが実行される。
となります。すなわち、AはBになりすましたのです。
これらを防ぐには、正規のサイトCの管理者がこのような改ざんを防止することが必要です。それには、WebページのFORM(入力場所)での入力データをチェックして、タグやスクリプトのような危険のある文字列を受け付けないとか、エスケープ処理(「<」を「<」のように機能を持たず表示だけの文字列にすること)を施すなど、いろいろな対処をする必要があります。