情報処理安全確保支援士_XSSとCSRF

XSS(クロスサイトスクリプティング)

ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。
よく攻撃者が送信したメールに記載されたURLをクリックして~、などの問題で出てくる。この場合、被害者が使用していたWebブラウザに是弱性がある、かつそれを利用して攻撃されたという意味でXSSが使われていると思われる。なぜクロスなのかというと、攻撃者が直接被害者のサイトに攻撃するのではなく、別の掲示板等に被害者がクリックしそうなリンク等を設定しておき、そのリンクを踏むことで被害者側の端末にスクリプトを仕込むからである。スクリプトが仕込まれた状態で被害者が自分のサイトにアクセスすると、巧妙に似せた偽ページを表示したりして、ログインクレデンシャル情報を搾取したりできる。

 

- CSRF(クロスサイトリクエストフォージェリ)

Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。CSRF脆弱性があるWebアプリケーションにログインした状態で、別の攻撃車が用意したWebページにアクセスしてしまうと、Webアプリケーションでユーザが意図していない操作(勝手に掲示板に投稿するなど)をされてしまう。

 

-XSSCSRFの違い

XSSWebブラウザに対してJavaScriptでできる範囲ならなんでも実行されてしまうが、CSRFはWebアプリケーションに対してアプリケーションでできる範囲でなんでも実行されてしまう。XSSはクライアント側でCSRFはサーバ側、というイメージ。
(どうせなら、XSCFとXSSFみたいな感じでサーバかクライアントか分かるようにしたらよかったのに。あとIT全般について略語多すぎ(あと適当につけたやろみたいなのとか)て初見だと意味わからんなあと思うことが多々あります。浅いからかもしれんけど。独学大全とか参考に勉強したほうがいいんかなあ、あそこまでするモチベーションが中々わかないんですけどね..)

 

- 参考URL

クロスサイトスクリプティング(XSS) | トレンドマイクロ

クロスサイトリクエストフォージェリ(CSRF) | トレンドマイクロ

3分でわかるXSSとCSRFの違い - Qiita

クロスサイトスクリプティングって何?サイトのセキュリティを高めるために | カゴヤのサーバー研究室