クロスサイトスクリプティング(読み)くろすさいとすくりぷてぃんぐ(英語表記)Cross Site Scripting

デジタル大辞泉 の解説

クロスサイト‐スクリプティング(cross site scripting)

インターネットウェブサイトに見られるセキュリティーシステム上の弱点の一。悪意のあるユーザーBBS電子掲示板)に有害なスクリプトを入力し、他の閲覧者のブラウザーを経由してそのスクリプトを送り込むこと。
[補説]CSSとも略されるが、cascading style sheetsの略との混同を避けるためにXSSと表記することが多い。→シー‐エス‐エス(CSS)

出典 小学館デジタル大辞泉について 情報 | 凡例

知恵蔵 の解説

クロスサイトスクリプティング

標的となるウェブサイトに外部から攻撃用のスクリプトを混入し、被害者のウェブブラウザー上で実行させようとする攻撃手法の一つ。攻撃用のウェブサイトに置かれたスクリプトを、標的にされたウェブサイトから送信されたスクリプトとして実行させる、つまり、2つのウェブサイトをまたいで(クロスして)スクリプトを実行させることからこの名がついた。英語表記(Cross site Scripting)の頭文字はCSSだが、これは一般的なウェブ技術の一つ「カスケーディングスタイルシート(Cascading Style Sheet)」の略称でもあるため、通常はXSSと略す。
XSSの標的となるのは、アクセスした利用者が入力したテキストをそのままウェブページとして表示する(ページを動的に生成する)機能を持つウェブ掲示板等のウェブサイトや、そこにアクセスする利用者である。このようなウェブサイトでページを生成しているプログラムに特定のセキュリティーホールがあると、ユーザーの入力内容にスクリプトが含まれていた際に、生成されたページにアクセスしたウェブブラウザー上でそのスクリプトが実行されてしまう。攻撃者はそれを悪用する。攻撃用のウェブサイトにアクセスした第三者に特殊なリンクをクリックさせるなどの方法で、標的となるウェブサイトへのアクセスと攻撃用スクリプトの入力を自動で行わせる。標的になったサイトからはスクリプトを書き込んだ犯人がその第三者にしか見えない。
スクリプトを埋め込まれたページにアクセスした利用者が受ける可能性がある被害は、そのウェブサイトのユーザーIDやパスワードの盗難、コンピューター・ウイルストロイの木馬の強制ダウンロードと実行など、幅広い。埋め込まれたスクリプトが明確に悪質な内容を含んでいるためマルウエアと判定されるか、別途マルウエアをダウンロードするような内容であればウイルス対策ソフトで検知できる可能性があるが万全ではない。より確実なのはウェブブラウザーの設定を変更してスクリプトの実行を無効にすることだが、ウェブサイトのメニュー表示等にスクリプトを使用しているサイトは多く、AJAX等を利用したウェブアプリケーションも利用できなくなる。そのため、あまり現実的な対策とは言えない。
そこで重要になるのがウェブサイト側の対策である。ページを動的に生成するソフトウエアにXSSを許してしまう脆弱性(ぜいじゃくせい)があれば修正する。また、サイト利用者の入力内容にスクリプトが含まれていても無効化するよう、入力時と出力(ページ生成)時にチェックや除去を行う必要がある。

(斎藤幾郎 ライター / 2009年)

出典 (株)朝日新聞出版発行「知恵蔵」知恵蔵について 情報

ASCII.jpデジタル用語辞典 の解説

クロス・サイト・スクリプティング

Webサイトのフォームなどを通じて、悪意のあるスクリプト(プログラム)を実行させること。または、そうした行為を可能にするWebアプリケーションのセキュリティー上の問題を指す。CSSやXSSとも呼ばれる。フォームに書き込んだ内容をそのまま表示する掲示板のようなWebサイトで発生しやすい。悪意のあるユーザーによってJavaScriptなどのコードが送り込まれ、第三者がそのページを閲覧した際にそのスクリプトが実行される。スクリプトが実行されると、パスワードやクレジットカード番号などの個人情報が盗まれる危険がある。

クロスサイトスクリプティング

Webアプリケーションに存在するセキュリティホールのひとつ。Web サーバーに送信中のデータに、悪意を持ったユーザーがフォームなどを通してJavaScriptなどのスクリプトコードを挿入することによって、cookieが読み込まれ、データが第三者のサーバーに転送される。CSSやXSSとも呼ばれる。

出典 ASCII.jpデジタル用語辞典ASCII.jpデジタル用語辞典について 情報

情報セキュリティ用語辞典 の解説

クロスサイト・スクリプティング

Web上で使用されるCGIなどのプログラムの中にある脆弱性の1つ。悪意のあるWebサイトを閲覧すると、スクリプトを実行でき、クッキーの漏えい、ファイルの破損といった被害が発生する。対策としてはサニタイジング(入力の無害化)などが必要。

出典 教育ネットワーク情報セキュリティ推進委員会(ISEN)情報セキュリティ用語辞典について 情報

今日のキーワード

大臣政務官

各省の長である大臣,および内閣官房長官,特命大臣を助け,特定の政策や企画に参画し,政務を処理する国家公務員法上の特別職。政務官ともいう。2001年1月の中央省庁再編により政務次官が廃止されたのに伴い,...

大臣政務官の用語解説を読む

コトバンク for iPhone

コトバンク for Android