クロスサイト・スクリプティング （cross-site scripting）

別名
・CSS （cross-site scripting） 【シー・エス・エス】
・XSS （cross-site scripting） 【エックス・エス・エス】

---

　Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。ユーザーの入力などに応じて動的に生成されるWebページにおいて、特殊なスクリプト・コードを入力すれば、本来は許可されていないような操作を行うことができるというセキュリティ・ホール。これを悪用すると、例えば別のWebサイトへCookie情報を送信させたり、ローカルのコンピュータに格納されている情報をほかのサーバなどへ送信させたりすることができる。スクリプトを使って、もともとのWebサイト以外へも（サイトを越えて）情報を漏えいさせてしまうので、クロスサイト・スクリプティング（攻撃）という。これを防ぐには、ユーザーが入力した文字列から特別な意味を持つ文字やコードを取り除くようにすればよい。これはWebサーバやWebブラウザ・ソフトウェアの問題ではなく、Webサーバ上で実行されているCGIなどの設計ミスに起因するセキュリティ・ホールである。

　例えば文字列を検索して、その結果を表示するWebページがあるとする。結果は『文字列「$STRING$」は見つかりませんでした。』と表示するようにCGIプログラムを作成する。ただし「$STRING$」の部分はユーザーが入力した文字列に置き換える。ユーザーの入力が「テスト」だとすると、動的に生成されたHTMLコードは次のようになるだろう。

<HTML> <BODY> 文字列「テスト」は見つかりませんでした。 </BODY> </HTML>

　しかしユーザーが「<SCRIPT>alert("Hello, world");</SCRIPT>」と入力したとするとこのコードは次のようになってしまい、画面には「Hello, world.」というダイアログが表示される。

<HTML> <BODY> 文字列「<SCRIPT>alert("Hello, world");</SCRIPT>」は見つかりませんでした。 </BODY> </HTML>

　このように、Webページの入力テキストボックスなどに特別なHTMLコードやスクリプト・コードを指定することにより、さまざまなコードを実行できるようになる。これを悪用すれば、ローカルのマシンに保存されているCookieの値を取得したり（Cookieの内容が漏えいすると、それを使ってWebサーバに登録されているユーザー情報などを取り出せる可能性がある）、ほかのサイトへ誘導したり、ローカルのデータを別のサーバへ送信したりするなど、さまざまな操作が可能になってしまう。

　クロスサイト・スクリプティングを防止するには、特別な意味を持つ文字をすべてエスケープ処理してから表示するなどの処理が必要である。具体的には、"<"→"&lt;"、">"→"&gt;"、"&"→"&amp;"などとする。先ほどのページならば、次のようにするべきである。

<HTML> <BODY> 文字列「&lt;SCRIPT&gt;alert("Hello, world");&lt;/SCRIPT&gt;」は見つかりませんでした。 </BODY> </HTML>

Copyright (C) 2000-2007 Digital Advantage Corp.