😽

サイバー攻撃 XSS, CSRFとは

1 min read

サイバー攻撃

今回、表題通り2通りのwebに関するサイバー攻撃を説明する。

クロスサイトスクリプティング(XSS)

脆弱性のある掲示板などに悪意のあるスクリプトを埋め込み、一般ユーザが該当ページにアクセスされた際にそのスクリプトが実行させる攻撃。
スクリプトの種類として、別の偽サイトへ遷移させ個人情報を入力させたり、Cookieを取得して外部サーバに送信するような処理が挙げられる。

対策法

  • ユーザに入力してもらうデータ(ページ上に表示するもの)に対しては必ずエスケープさせる。
  • WAF(Web Application Firewall)を用いる。
    https://jpn.nec.om/infocage/siteshell/waf.htmlc
  • CookieはJavaScript側から取得できないように設定しておく。

クロスサイトリクエストフォージェリ(CSRF)

罠サイト、リンクを通して不正に外部サーバにリクエストを送る攻撃。
ログインしたままの状態でこの攻撃をすると認証済みユーザを装ってリクエストを送ることが出来てしまう。

対策法

  • リクエストのトークンの正当性の確認をCookie以外でも行う。
    具体的には送信フォームにhiddenフィールドでトークンを入れておき、その値も確認するようにする。
  • WAFを用いる。
  • 登録、更新などの処理の前にパスワード認証をかける。
  • Refererヘッダに参照元ページのURLを入れる。全てのブラウザで有効になるヘッダではないため注意。

Discussion

ログインするとコメントできます