鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > 持続型XSS

用語「持続型XSS」について

持続型XSS (じぞくがたえっくすえすえす)

話題 : セキュリティ

クロスサイトスクリプティング脆弱性の中でも、特に、ターゲットのサイトにスクリプトが持続的に埋め込まれ、効果が永続するタイプのもの。一般的には "XSS type2" と呼ばれたりするようですが、数字で言われても分かりにくいので、このサイトでは「持続型」と呼ぶことにしています。"stored XSS" とも呼ばれるようです。

ユーザが入力した内容をサイトに表示する機能があり、その表示の処理に不具合がある場合にこの問題が発生します。反射型XSSと大きく異なるのは、サイトに訪れた全てのユーザに対してスクリプトが実行されるという点です。罠サイトや罠メールを経由する必要がなく、普通にサイトを訪れたユーザが被害に遭います。そのため、反射型に比べて脅威は大きなものとなります。

実際に過去に被害にあった例としては、「予告.in」の事件が知られています。

※よくよく考えると、「クロスサイト」というのは「攻撃者のサイトに埋め込まれたスクリプトがターゲットのサイト上で実行される」というところに由来していますので、罠サイトを必要としないこのタイプの問題を「クロスサイト……」と呼ぶのは妥当ではないのかも知れません。が、まあ原理や現象は似ていますし、そこにはあまりこだわらなくても良いのかなと思っています。

「持続型XSS」に関連する用語

「持続型XSS」に関連する Web サイト

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト