【これは約 3 分の記事です】
人に見えるところで資格取得勉強しよう、ただそれだけの勉強会を福井県産業情報センターのコワーキングスペースで実施しています。
第121回 資格試験勉強会 in 熊堂(2017年4月7日(金) 19:00~20:30)
今日は、クロスサイトスクリプティングについて
クロスサイトスクリプティングを説明するときには、
- 脆弱性(問題点)のある正規のウェブサイト
- 悪意のある偽サイト
の存在を説明した上で、
脆弱性のあるサイト上のスクリプトとして悪意のあるJavascriptが実行され、それによって悪意のある偽サイトに誘導される
というのが本来の説明です。本来の正規サイトから悪意のある偽サイトへと横断するから「クロスサイト」スクリプティング、字義上はそうです。
ですが、クロスサイトスクリプティング関連の説明ページを見ると、「サイトを横断(クロス)すること」よりも、「本来のサイトに悪意のあるスクリプトが組み込まれる」ことに重点を置いていて、「クロスサイト」については述べられていません。
例えばトレンドマイクロの「クロスサイトスクリプティング」説明
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/xss/index.html
ここでは被害の「一例」として「他の不正サイトへの誘導」が説明されています。つまり、「クロスサイト」することは一例にすぎないのです。
これも説明が足りなくて、単に「クロスサイト」するだけなら画面の遷移に過ぎません。遷移の際に、本来は正規サイトとの通信でなければ知ることができない正規サイトのCookie情報も不正サイトに送られるなどがあるので問題なのです。
とは言え、これは「クロスサイトスクリプティングを字義通りに説明する」ためにはたしかに必要ですが、実際には「本来のサイトに悪意のあるスクリプトが組み込まれる」ことから生じる被害は「クロスサイト」しなくても発生するものもあります。
想定しうる具体例の範囲を狭めないという意味では「悪意のあるスクリプトが実行される」に重きをおくほうが良いのかもしれないと思いつつ、「クロスサイト」で表現されるものの意味からかけ離れてしまって混乱するなあという気持ちはしています。
次回は
2017年4月11日(火) 19:00~20:30
の予定です。
前回は
でした。
Facebookページ
です。ぜひ覗いてみてください。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/