クロスサイトスクリプティング

体験版ダウンロード

クロスサイトスクリプティング

クロスサイトスクリプティング(XSS) (本ページ)
SQLインジェクション、コマンドインジェクション、XMLインジェクションなどのインジェクション
HTTPレスポンス分割
悪意のあるファイルの実行
強制ブラウズ

クロスサイトスクリプティング (XSS) は、ユーザの入力データを使用して動的にページを出力する Webアプリケーションの脆弱性を利用し、ユーザのブラウザ上で悪意のあるスクリプトを実行させるセキュリティ攻撃です。
多くの場合、攻撃者が用意した Web ページや電子メール中のリンクから脆弱性のある Web サイトに誘導するという段階を踏むため、クロスサイト (サイトをまたがる) スクリプティングと呼ばれます。

ごく簡単なケースとして、ユーザがフォームのテキストボックスに文字列を入力して送信すると、その文字列を含む HTMLページを返す Webアプリケーションを例に紹介します。

クロスサイトスクリプティング（XSS）の例

ここで、テキストボックスに次の文字列を入力して送信したとします。

アプリケーションで入力データをチェックしていない場合、出力された Web ページにスクリプトがそのまま含まれるため、次のようなダイアログが表示されます。

この例では、スクリプトは単にメッセージボックスを表示するだけですが、攻撃者は悪意のあるスクリプトを使用して、Cookie 情報の詐取、偽のページの表示、第三者へのフォーム情報の送信など、さまざまな操作を行うことができます。

ユーザに悪意のあるスクリプトを実行させるため、攻撃者はパラメータに細工を施した URL リンクを含む HTML ページや電子メールをユーザに閲覧させ、リンクをクリックするように仕向けます。
次のリンクをクリックすると、フォームのテキストボックスにスクリプトを入力して送信ボタンをクリックした場合と同じリクエストがアプリケーションに送信されます。

スクリプトとしては、一般的に JavaScript が多く使用されますが、ユーザのブラウザでサポートされているスクリプト言語であれば、言語を問いません。

対策

XSS を防ぐには、ユーザからの入力データの検証と、出力データの適切なエンコーディングを徹底します。入力データを表示する前に、必ずデータの長さ、型、構文などが許可される範囲内であるかどうかを検証します。また、出力データは HTML、XML などの出力フォーマットに従って適切にエンコードします。

Jtestのルール

XSS の脆弱性の可能性

このルールは、悪意のあるスクリプトを含んでいる可能性のある入力データが、検証メソッドによるチェックを受けないまま出力メソッドに渡されている場合に違反をレポートします。このルールはフロー解析ルールなので、入力データの取得と出力が別のメソッドに分かれていたり、複数の実行パスが存在する場合でも、実行パスを辿って違反を検出することができます。

チェックできる入力データ
- リモートメソッドおよびエントリポイントメソッドのパラメータ
- ネイティブメソッド
- 検証を行っていない Struts フォーム
- ネットワーク
- Servlet リクエスト
- ファイル
- パイプ
- リモートメソッド
- リフレクションメソッド
- 環境変数およびシステムプロパティ
- データベース
- ストリーム指向 API (ストリーム、リーダー、チャネル)
- コンソール
- GUI コントロール

チェックできる出力メソッド
- javax.servlet.ServletOutputStream
  - void print(...) methods
  - void println(...) methods
  - void write(...) methods
- java.io.PrintWriter
  - void print(...) methods
  - void println(...) methods
  - void write(...) methods

検証メソッドの指定も可能
ルールのパラメータでは検証メソッドを指定することも可能です。検証メソッドは、スクリプトを含んでいる可能性のある入力データを受け取り、チェック済みの安全なデータをパラメータまたは戻り値として返すメソッドです。検証メソッドをパラメータで指定しておくと、チェック済みのデータに対して誤って違反が検出されることがなくなるため、解析結果の精度が向上します。