クロスサイト スクリプティング (XSS) は、訪問者がアクセスする Web サイトの脆弱性を悪用して攻撃し、悪意のあるコードやスクリプトを埋め込むことで無害なWebサイトを改ざんし、 訪問者の入力をそのまま画面に表示する掲示板などのプログラムや、キー入力や入力したログイン情報、およびパスワード等を記録し、 これらの個人データを漏えいさせようとするものです。
悪意のあるコードを直接埋め込んで実行させるほかに、訪問者に認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、サイトを横断するという意味で 「クロスサイト」の名がついています。
スクリプトの内容によっては Cookie データの盗聴や改ざんなどが可能なため、商取引に使った Cookie を横取りして、本人になりすまして物品の購入を行ったり、Cookie を認証やセッション管理に使っているサイトに侵入し、より広範かつ深刻な損害を与える可能性があります。
XSSの脆弱性を利用した攻撃が成立する要因としては、まず Web サイトで使われるサーバー上のプログラムの欠陥があります。一般的には、Web サーバー上のプログラムは XSS に対して一通りの対策が施されております。
こうした Web サーバー側の対策を逃れるために、Web にアクセスするブラウザやメディアプレイヤーの欠陥が利用されることもあります。
Web サイト上のプログラムの脆弱性対策は、Web サイトの管理者が行うことになります。
基本的には Web サイト側の脆弱性を突いて、Web サイトにアクセスした利用者に任意のスクリプトを実行させる状況であるため、Web サイト管理者側が脆弱性対策を行わずに放置したような場合、利用者側が取れる根本的な対策はほとんどない。Web サイト側で訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要です。
利用者側は 「脆弱性の対策をしていないサイトは利用しない」 という、一般利用人には現実に適用できそうもないポリシーを取るしかない。現実的には 「怪しいサイトには行かない」 ということしかないが、これでは不十分だ。
その唯一とれる対策としては、ブラウザーのスクリプト (Java/ActiveX などを含む) を無効にすること、スクリプトや動的生成ページを使用しない静的ページのみにアクセスを限定する、という程度である。
また、普段から使っているプログラムの更新をチェックし、こまめにアップデートすることでしょう。Adobe Flash Player なども XSS 対策の更新を発表しています。
Internet Explorer 9 には、このような攻撃を検出できるクロスサイト スクリプティング (XSS) フィルターが実装されています。 脆弱性が見つかった場合、Internet Explorer によって有害なスクリプトが無効にされます。訪問者を保護するために、クロスサイト スクリプティング フィルターは既定で有効になっています。
Internet Explorer のクロスサイト スクリプト (XSS) フィルターの機能は、ある Web サイトが別の Web サイトに悪意の可能性のあるスクリプト コードを追加するのを防ぐのに役立ちます。
XSS フィルターは Web サイトのやりとりを分析し、攻撃の可能性を認識すると、自動的にスクリプト コードの実行をブロックします。 その場合は、プライバシーおよびセキュリティを保護するために Web ページが変更されたことを知らせるメッセージが通知バーに表示されます。