大手の9検索サイトのクロスサイトスクリプティングの脆弱性問題についての実態を調査し、またこれらサイトの問題への対応状況について検討した結果、安全管理について本来責任のある人々が、一部は問題を自覚しながらも、不十分な安全管理体制しかとれていないという実態が改めて明らかになった。
[クロスサイトスクリプティングの脆弱性とは]
まず「クロスサイトスクリプティングの脆弱性」とは何かということを簡単に説明する。クロスサイトスクリプティングの脆弱性は、ユーザなどの入力に応じて表示するページの内容を変化させるような、例えば掲示板のようなcgiページなどに見られる問題である。セキュリティのことをよく考えていない掲示板では、書き込み者が入力したタグがそのまま掲示板の表示として出力され、その結果掲示板全体が意図されたように表示されなくなったり、閲覧者に対して有害なScript等が動作したりする。もう少し一般化してクロスサイトスクリプティングの脆弱性を説明すると、他のページなどから、特殊な文字列を含むURLで誘導されて来たWeb閲覧者が、Web制作者が想定していない効果をもたらすタグを含んだページをブラウザに表示されてしまい、何らかの害を被ってしまうような問題だと言える。
日本でもWebサイトに関する最初のインシデントとして記録されているのは、1997年に総務省の掲示板に
他サイトの(悪意ある)特殊な文字列をURLに含んだリンクなどによって誘導されてきたWeb閲覧者のブラウザ上で、問題となるWebサイトから読み出された(Web制作者が想定していない)悪意あるJavaScriptが起動させられることがある。そのJavaScriptは閲覧者のブラウザに蓄積されている該当WebについてのCookieを読み出すことが可能で、読み出したその情報を第三者に送付することもできる。Cookieの情報を盗まれると、そのCookieで管理している個人情報を不当に取得されたり、あるいは該当Webサイトでのユーザの(有料サービスを利用するなどの)権利を奪われてしまったりする。
[調査内容]
ユーザの入力に従って表示されるページ内容が異なる典型的なWebシステムとして、検索ページをあげることができるだろう。ユーザがキーワードなどの情報を与えてやると、それに応じて検索結果などが動的に生成されて表示される。大手検索ページはまたポータルサイトを目指して作られてきた経緯から多額の資金を投入されて高い技術力を誇っていると考えられ、また一方ではこのようなサイトは初心者も利用することも多く、これらユーザは十分保護されるべきだと考えられる。
office
office@ukky.net
http://www.office.ac/
詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm
