Home » » クロスサイトスクリプティングとは何ですか?

クロスサイトスクリプティングとは何ですか?

Webサイトの脆弱性の最も一般的なクラスの1つは、「クロスサイトスクリプティング」または「XSS」と呼ばれます。XSSの脆弱性は、ユーザーがJavaScriptを実行させる可能性がある場所です。XSSの脆弱性にはさまざまな種類があり、重大度はさまざまです。

攻撃者が他のユーザーのセッションでJavaScriptを実行できるという問題は、攻撃者が被害者に表示されているWebサイトに対して何でもできる可能性があることです。これには、被害者を外部のWebサイトにリダイレクトすること、認証トークンを盗むこと、支払いの詳細を監視することが含まれます。

XSSの脆弱性の最も深刻な形態は、「保存」または「永続的」クロスサイトスクリプティングです。これは、攻撃者がXSSペイロードを作成して送信する可能性があるため、データベースに保存されます。XSSエクスプロイトがデータベースに保存されていると、長期間にわたって他のユーザーに影響を与える可能性があります。

クロスサイトスクリプティングのもう1つの形式は「反映」です。このタイプはどの時点でも保存されず、代わりにペイロードがブラウザに含まれます。通常、このタイプのXSSはフィッシング攻撃の一部であり、攻撃者は被害者をだまして悪意のあるリンクをクリックさせようとします。

一般に、ほとんどのXSS攻撃では、ある時点でペイロードがサーバーに送信されますが、一部の攻撃は純粋にクライアント側であり、サーバーに送信されることはなく、クライアント側のJavaScriptにのみ影響します。これは、JavaScriptドキュメントオブジェクトモデル(DOM)にとどまるため、DOMベースのXSSと呼ばれます。このタイプの脆弱性は、エクスプロイトがサーバーに認識されないためログに記録できないため、特定および解決が特に困難です。

これまで、XSSの脆弱性に対する防止手法は、ユーザーが送信したすべてのデータをフィルタリングし、ブロックリストを使用してJavaScriptで意味のある文字や単語を含むメッセージを拒否することでした。これは、一部の正当なユーザー送信を防ぎながら、フィルターのバイパスを見つけるという軍拡競争につながる傾向がありました。正しい解決策は、HTMLエンティティを使用してユーザーが送信したデータをエンコードすることです。HTMLエンティティモジュールを有効にすると、文字は自動的にフォーマットにエンコードされ、ブラウザは文字を正しい記号として表示しますが、コードとしては処理しません。


Leave a Comment

Google Chrome に常に完全な URL を表示させる方法

Google Chrome に常に完全な URL を表示させる方法

Chrome では、デフォルトでは完全な URL が表示されません。この詳細はあまり気にしないかもしれませんが、何らかの理由で完全な URL を表示する必要がある場合は、Google Chrome でアドレス バーに完全な URL を表示する方法の詳細な手順をご覧ください。

古いRedditを取り戻す方法

古いRedditを取り戻す方法

Reddit は 2024 年 1 月に再びデザインを変更しました。再デザインはデスクトップ ブラウザ ユーザーに表示され、リンクを提供しながらメイン フィードを絞り込みます。

Googleレンズを使って教科書のコンテンツをコピーする方法

Googleレンズを使って教科書のコンテンツをコピーする方法

本からお気に入りの引用を Facebook に入力するのは時間がかかり、間違いも多いです。Google レンズを使用して書籍からデバイスにテキストをコピーする方法を学びます。

ChromeでサーバーDNSアドレスが見つからない問題を修正

ChromeでサーバーDNSアドレスが見つからない問題を修正

Chrome で作業しているときに、特定の Web サイトにアクセスできず、「Fix Server DNS アドレスが Chrome で見つかりませんでした」というエラーが表示されることがあります。この問題を解決する方法は次のとおりです。

Google Homeでリマインダーを作成する方法に関するクイックガイド

Google Homeでリマインダーを作成する方法に関するクイックガイド

リマインダーは常に Google Home の大きなハイライトでした。彼らは確かに私たちの生活を楽にしてくれます。重要な用事を見逃さないように、Google Home でリマインダーを作成する方法を簡単に説明します。

Netflix: パスワードを変更する

Netflix: パスワードを変更する

好みのブラウザまたは Android アプリを使用して、Netflix ストリーミング ビデオ サービスのパスワードを変更する方法。

Chromebook で検索履歴と閲覧履歴を削除する方法

Chromebook で検索履歴と閲覧履歴を削除する方法

ブラウザの履歴を削除すると、特に共有または公開の Chromebook を使用している場合、閲覧アクティビティの機密性を保つことができます。このチュートリアルでは、個人、職場、学校の Chromebook でブラウザ履歴を削除する手順について説明します。

Googleスプレッドシートで行と列を入れ替える方法

Googleスプレッドシートで行と列を入れ替える方法

スプレッドシートを設定した後で、別のレイアウトの方がうまく機能することに気づいたことがありますか。Google スプレッドシートでは、行を列に、またはその逆に簡単に変換して、データを自由に表示できます。

最も人気のあるビデオ ゲーム ジャンル 7

最も人気のあるビデオ ゲーム ジャンル 7

誕生以来、ゲーマーが楽しめるようにさまざまなスタイルのビデオ ゲームが作成されてきました。アクション指向のもの、頭を使ってパズルを解いたり戦略を立てたいもの、またはカジュアルなゲームプレイでリラックスしたものなど、誰もが楽しくプレイできるものがそこにはあります。

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebook Messenger の通知は、未読のメッセージをすべて読み終え​​ると消えるはずです。ただし、通知が引き続き表示され、何をしても消えない場合は、問題を解決するために適用できる解決策がいくつかあります。