読者です 読者をやめる 読者になる 読者になる

XSS

ネタ

@ITの記事を見て、XSSについてちゃんと理解しないといけないなぁ。と思い、いくつか解説記事を読んでみました。

XSS攻撃 http://www.exnet-japan.jp/xss.html

screenshot
どうやらペネトレーションテストを実施している会社のコラムのようです。
まず、概要のところを見ると・・・

XSS(Cross Site Script)とは、クロスサイトスクリプティングのことで、悪意のある攻撃者は、ウェブページに悪意スクリプトコードを入れておいて、ユーザから悪意のコードが入れられたページを観覧する際に、内部のスクリプトコードが実行させるので、ユーザのPCは攻撃を受けてしまいます。

文を読んだだけでは、さっぱりわかりません。
次にXSS攻撃の原理を読んでみます。

ユーザから出したパラメータが、完全なチェック機構に通らず、データバスに入れます。もし悪意あるスクリプトコードを埋め込まれたページが他のユーザに観覧されると、このユーザのPCは攻撃されるようになります。

むむむ。わかりません。

XSS攻撃のパターンは3種類あるらしいので、具体的な攻撃例をみると、少し理解できるかなと思いながらみてみると・・・

パターン 1:当該パターンは、主にクライアント側に行われます。悪意プログラムのあるページがブラウザに実行されたら、悪意プログラムが、攻撃されたユーザのマシンに入れられて実行されます。図1の示したとおりです。

図1は・・・_| ̄|○ ハハハ、ハハハ。
・・・これ以上は、もう無理です。
結論:ペネトレーションテスターにとってもXSSは難しい。ということで・・・(汗