★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 254.html
 ★阿修羅♪
次へ 前へ
セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(1)〜【IT_Pro記事】
http://www.asyura2.com/0406/it06/msg/254.html
投稿者 クエスチョン 日時 2004 年 9 月 10 日 18:41:59:WmYnAkBebEg4M
 

セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(1)〜【IT_Pro記事】
http://itpro.nikkeibp.co.jp/members/NBY/Security/20040809/148383/


クロスサイトだけが問題ではない
佐名木 智貴
日経ネットワークセキュリティ「自己防衛マニュアル」(2003年8月発行),156ページより
この連載のほかの回を読む

(注:記事は執筆時の情報に基づいており,現在では異なる場合があります)

話題の多いクロスサイト・スクリプティング問題を取り上げる。この問題の本質は,WebサーバーやWebアプリケーションの出力を,攻撃者が書き換え可能だということである。攻撃するためにスクリプトを使う必要はない。HTMLタグでもよい。現在「クロスサイト・スクリプティング」という名称で呼ばれることが多いが,問題の範囲は名称よりも広範囲に渡る。このため,この問題は思わぬ個所に潜んでいることも多く,対策するには細心の注意が必要である。

 今回は,多くのWebアプリケーションが抱えているクロスサイト・スクリプティングの問題について取り上げたいと思う。まずは,「クロスサイト・スクリプティングとは何か」について説明する。

 その後,対策方法を解説し,最後にこれまでWebや書籍ではあまり紹介されてこなかったクロスサイト・スクリプティング問題を紹介する。クロスサイト・スクリプティング問題は,Webアプリケーションのいたる所に隠れている可能性があり,最近では思わぬ個所でのクロスサイト・スクリプティング問題が多く発見されている。

話題の多いクロスサイト・スクリプティング問題を取り上げる。この問題の本質は,WebサーバーやWebアプリケーションの出力を,攻撃者が書き換え可能だということである。攻撃するためにスクリプトを使う必要はない。HTMLタグでもよい。現在「クロスサイト・スクリプティング」という名称で呼ばれることが多いが,問題の範囲は名称よりも広範囲に渡る。このため,この問題は思わぬ個所に潜んでいることも多く,対策するには細心の注意が必要である。

 今回は,多くのWebアプリケーションが抱えているクロスサイト・スクリプティングの問題について取り上げたいと思う。まずは,「クロスサイト・スクリプティングとは何か」について説明する。

 その後,対策方法を解説し,最後にこれまでWebや書籍ではあまり紹介されてこなかったクロスサイト・スクリプティング問題を紹介する。クロスサイト・スクリプティング問題は,Webアプリケーションのいたる所に隠れている可能性があり,最近では思わぬ個所でのクロスサイト・スクリプティング問題が多く発見されている。
クロスサイトだけが問題ではない

 WebアプリケーションおよびCGIプログラムのセキュリティ問題は,かなり以前から一部で注目されていた。しかし,WebやCGIの問題がセキュリティのメインテーマとして扱われ出したのは,クロスサイト・スクリプティング問題と,その対策の必要性が叫ばれるようになってからだと,筆者は感じている。

 このためか,「Webアプリケーションのセキュリティ=クロスサイト・スクリプティング」のような印象を持っている人は意外と多い。本稿の読者諸氏の中にも,そういう人がいるのではないだろうか。

 確かにクロスサイト・スクリプティングは,WebアプリケーションとCGIプログラムが抱えるセキュリティ問題の一つである。セッションIDを使うHTTPのセッション管理が主流の現在においては,クロスサイト・スクリプティング問題がセッション・ハイジャックという深刻な問題を引き起こす危険性もある。無視できない問題だ。

 しかし,WebアプリケーションとCGIプログラムのセキュリティ問題は,クロスサイト・スクリプティングだけではない。データベース連携時のセキュリティ問題やシェルコマンド実行の問題など多岐に渡る。

 今回はクロスサイト・スクリプティング問題に焦点を当てるが,「Webアプリケーションのセキュリティ=クロスサイト・スクリプティング」と誤解しないでほしい。本題に入る前に,このことははっきりさせておく。

佐名木 智貴 Sanaki Tomoki

筆者はインターナショナル・ネットワーク・セキュリティに勤務。技術本部に所属している。システムのセキュリティ・ホールの検査を専門とし,システム開発のセキュリティ問題に詳しい。


バックナンバー
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(1)〜 (2004/09/07)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(2)〜 (2004/09/14公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(3)〜 (2004/09/21公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(4)〜 (2004/09/28公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(5)〜 (2004/10/05公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(6) (2004/10/12公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(7)〜 (2004/10/19公開予定)
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている(8)〜 (2004/10/26公開予定)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。