XSS攻撃とは何か、そしてそれに対してあなたができることは何か？

世界はクロスサイトスクリプティング（XSS）脆弱性として知られるものに目覚め始めています。この問題が世界中のウェブサイトで取り上げられているのは良いことだと思いますが、それが何であるかを無知でいるのはあまり良くないと思います。結局のところ、ほとんどのXSS攻撃は潜在的な被害者によって防ぐことができます。インターネット上では、あなたが被害者にならないように、あらゆる脅威に対して自分を武装させる責任があります。XSSから自分を守る方法を理解するためには、まずXSSが何であるか、どのようにあなたに影響を与えるか、そしてそれを防ぐ方法を知る必要があります。

XSSとは何か？

定義はその名前にあります。XSS攻撃は、特定のスクリプトを注入できるようにURLを変更することによって実行されます。たとえば、URLの宛先のフレーム内にまったく異なるウェブサイトを表示させることができます。

変更されたURLの例を見てみましょう：

スクリプトがどこに注入されたか見えますか？この例では、”で始まるのでかなり簡単です。

XSSはあなたにどのように影響するか？

XSSはさまざまな方法で使用される可能性があります。誰かが悪意のあるURLを含むリンクをTwitterに投稿するかもしれません。Twitterは部分的にURLを隠すことで彼らの半分の仕事をしてくれます。信頼できないブログやウェブサイト内の文脈リンクには、「アンカーテキスト」によってマスクされたURLが含まれている場合があります（これは下線が引かれた青いテキストを説明する別のしゃれた方法です）。

リンクをクリックすると、いくつかのことが起こる可能性があります。最良のシナリオでは、あなたは「いたずら」を経験するだけです。言い換えれば、XSS攻撃を行ったグループにクレジットを示す偽のコンテンツが表示されるページにリダイレクトされるでしょう。最悪のシナリオでは、あなたのブラウザは悪夢のような症状を経験します。ホームページが変更され、実行されたマルウェアの結果として、コンピュータ上でさまざまな迷惑が発生する可能性があります。

XSSはまた、あなたの同意なしにコンピュータにクッキーをインストールすることであなたを追跡するためにも使用される可能性があります。このデータを収集することで、ハッカーは将来のマルウェア感染のターゲットとしている人々の「デジタル人口統計」をよりよく理解できるようになります。そのような場合、あなたはコンピュータやモバイルデバイスで何が起こっているのか全く気づかないかもしれません。

XSSはどれほど危険か？

すべてを考慮すると、XSSは通常それほど危険ではありません。迷惑かもしれませんが、少なくとも短期的には長期的な結果をもたらすことはありません。しかし、XSS攻撃と他の種類の悪意のある行動との組み合わせには注意してください！

たとえば、FacebookがXSSに対して脆弱であるとしましょう。ハッカーはFacebookのURLに偽のログインページを簡単に注入できます。あなたは成功裏にログインします（偽のページはあなたの資格情報をFacebookと自分のデータベースの両方に送信できるため）、しかしハッカーは今やあなたのユーザー名とパスワードを持っています。これがXSSの真の危険が現れるところです。

XSSから自分を守る方法

いつの日か、XSSは過去のものになるでしょう。しかし、それまでの間、XSSの罠に陥らないように自分を守る方法を学ぶ必要があります。ページに入るたびに、URLを確認してください。そこにスクリプトが含まれていることを示すもの（たとえば、単語を囲む「<」および「>」文字など）があれば、あなたの裁量を使って離れるのが賢明です。また、リンクのURLにも注意してください。すべてのリンクを右クリックしてクリップボードにコピーします。URLをメモ帳アプリケーションに貼り付けて、入る前に確認してください。

自分で開発しているウェブサイトがある場合は、このチートシートを読んでください。これにより、あなたと訪問者をXSSから守ることができます。知っているウェブ開発者にこのチートシートをメールすることを忘れないでください。彼らは感謝するでしょう。

XSSについてさらに質問がある場合は、下のコメントに残してください！