アプリケーションの攻撃パターン - 5) クロスサイト・スクリプティング
クロスサイト・スクリプティング(以下「XSS」)は、掲示板や入力確認画面などで、ユーザが入力した内容をそのまま表示するWebアプリケーションが原因となります。攻撃者が悪意ある任意のスクリプトを仕込み、そのスクリプトがユーザのWebブラウザ上で実行されることで、Cookieの盗難などの被害を起こすのがXSSです。攻撃者が用意したWebサイトとXSS脆弱性のあるWebサイトをまたがって発生するため、「クロスサイト」の名で呼ばれています。特徴的なのは、XSS脆弱性を抱えたWebサイトを利用して、実際の被害はエンドユーザ側で発生するところです。以下に、具体的に一例をご紹介します。
攻撃者はxxx銀行のWebサイトにXSS脆弱性が存在することに気がつき、XSS脆弱性を利用して、この銀行を利用しているユーザからCookieを盗み取ろうと考えました。
まず、攻撃者は差出人をxxx銀行と偽って、無差別にメールを配信します。例えば、このメールはこのようなものです。
(図5-1)
まず、攻撃者は差出人をxxx銀行と偽って、無差別にメールを配信します。例えば、このメールはこのようなものです。
(図5-1)
図5-1
大抵は、この銀行を利用しているユーザが思わずクリックしてしまうような誘い文句とともにリンクが貼り付けられています。見た目上は分かりませんが、このリンクに実はユーザIDとパスワードを盗み取って攻撃者のサイトに送信するようなスクリプトが挿入されているのです。
では、このリンクをクリックした後の流れを見ていきましょう。
リンクをクリックしたユーザのWebブラウザには、xxx銀行のWebページが表示されます。Webブラウザの画面を見ているだけでは特に何の違和感も感じられません。また、このようなサイトではhttpsによる通信がなされていますが、証明書も確かにxxx銀行のものが使われています。
表示されたWebページは以下のようなログインページです。
では、このリンクをクリックした後の流れを見ていきましょう。
リンクをクリックしたユーザのWebブラウザには、xxx銀行のWebページが表示されます。Webブラウザの画面を見ているだけでは特に何の違和感も感じられません。また、このようなサイトではhttpsによる通信がなされていますが、証明書も確かにxxx銀行のものが使われています。
表示されたWebページは以下のようなログインページです。
図5-2
しかし、このサイトにはXSSの脆弱性があり、メールのリンクをたどると、ユーザが入力したIDとパスワードが実際には別の攻撃者が用意したサイトに送信するように細工されています。OKボタンを押下すると攻撃者が用意したサイトにIDとパスワードを送信します。
攻撃者が用意したサイトではIDとパスワードを記録し、実際のxxx銀行のサイトにIDとパスワードを送信します。
この結果ユーザはIDとパスワードが取得されたことを気づく可能性は少なく、悪用されてもその理由が判明できない場合がほとんどのケースです。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。
攻撃者が用意したサイトではIDとパスワードを記録し、実際のxxx銀行のサイトにIDとパスワードを送信します。
この結果ユーザはIDとパスワードが取得されたことを気づく可能性は少なく、悪用されてもその理由が判明できない場合がほとんどのケースです。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。
PICK UP
イベント・セミナー
AppScanに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- watchfire@techmatrix.co.jp