アプリケーションの攻撃パターン - 5) クロスサイト・スクリプティング

クロスサイト・スクリプティング(以下「XSS」)は、掲示板や入力確認画面などで、ユーザが入力した内容をそのまま表示するWebアプリケーションが原因となります。攻撃者が悪意ある任意のスクリプトを仕込み、そのスクリプトがユーザのWebブラウザ上で実行されることで、Cookieの盗難などの被害を起こすのがXSSです。攻撃者が用意したWebサイトとXSS脆弱性のあるWebサイトをまたがって発生するため、「クロスサイト」の名で呼ばれています。特徴的なのは、XSS脆弱性を抱えたWebサイトを利用して、実際の被害はエンドユーザ側で発生するところです。以下に、具体的に一例をご紹介します。
攻撃者はxxx銀行のWebサイトにXSS脆弱性が存在することに気がつき、XSS脆弱性を利用して、この銀行を利用しているユーザからCookieを盗み取ろうと考えました。

まず、攻撃者は差出人をxxx銀行と偽って、無差別にメールを配信します。例えば、このメールはこのようなものです。
(図5-1)

クロスサイト・スクリプティング 図5-1

図5-1

大抵は、この銀行を利用しているユーザが思わずクリックしてしまうような誘い文句とともにリンクが貼り付けられています。見た目上は分かりませんが、このリンクに実はユーザIDとパスワードを盗み取って攻撃者のサイトに送信するようなスクリプトが挿入されているのです。

では、このリンクをクリックした後の流れを見ていきましょう。

リンクをクリックしたユーザのWebブラウザには、xxx銀行のWebページが表示されます。Webブラウザの画面を見ているだけでは特に何の違和感も感じられません。また、このようなサイトではhttpsによる通信がなされていますが、証明書も確かにxxx銀行のものが使われています。
表示されたWebページは以下のようなログインページです。

クロスサイト・スクリプティング 図5-2

図5-2

しかし、このサイトにはXSSの脆弱性があり、メールのリンクをたどると、ユーザが入力したIDとパスワードが実際には別の攻撃者が用意したサイトに送信するように細工されています。OKボタンを押下すると攻撃者が用意したサイトにIDとパスワードを送信します。

攻撃者が用意したサイトではIDとパスワードを記録し、実際のxxx銀行のサイトにIDとパスワードを送信します。

この結果ユーザはIDとパスワードが取得されたことを気づく可能性は少なく、悪用されてもその理由が判明できない場合がほとんどのケースです。


Rational AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。