【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜 | ScanNetSecurity
2026.04.04(土)

【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜

 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害

特集 特集
20 views
facebookLINE
 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害を受けることである。また、最近問題として筆者が注目しているのは、該当ページを閲覧したユーザが、知らないうちに他サイトを攻撃してしまうこともあるということだ。サーバに侵入されることがなく、直接の被害を受けないからといって軽視はできない。Web閲覧者や、攻撃を受けたサイトから訴えられる可能性もある。

 クロスサイトスクリプティング脆弱性のないセキュアなプログラムを開発するのに必要なことは、他のセキュアプログラミングと全く変わりなく、単にユーザ入力されたものをきちんとチェックするというだけのことである。クロスサイトスクリプティング脆弱性が発生するのは、Webへの出力に関してであるから、Web出力時に不都合なデータ内容でないかを検査し、エスケープ処理を行えばよい。

 クロスサイトスクリプティング脆弱性の原因は、ユーザが入力した文字列をWebページとして出力する際に、cgi作成者が全く意図しないHTMLタグやJavaScriptコードが出力されてしまうことである。従って、ユーザ入力された文字列を出力する際に、その文字列にHTMLタグやJavaScriptコードが含まれないように適切にエスケープしなければならない。

office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 撮影と投稿は医療従事者としてあってはならないこと ~ 看護師が自分の電子カルテ画面を Instagram に投稿

    撮影と投稿は医療従事者としてあってはならないこと ~ 看護師が自分の電子カルテ画面を Instagram に投稿

  2. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  3. Microsoft Defender SmartScreen の誤検知で受講システムへのアクセスに不具合

    Microsoft Defender SmartScreen の誤検知で受講システムへのアクセスに不具合

  4. 看護師が患者のカルテ画像を SNS に投稿

    看護師が患者のカルテ画像を SNS に投稿

  5. 「水道料金等納入通知書」を別人に誤送付、法人情報1件が漏えい(大阪市)

    「水道料金等納入通知書」を別人に誤送付、法人情報1件が漏えい(大阪市)

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP