SQLインジェクションよりかは、話題になることが少ないクロスサイトスクリプティング。通称XSS。
とはいえ、狙われて被害が発生すると、大きな損害になることもあるので、対策はしっかりしましょうという話。

■そもそも何が起こるか?

cookieの内容がパクられちゃう。
→セッションIDやら、ログインIDやら、パスワードなど、cookieに保存されているものが盗まれる。

ページの内容を書き換えられちゃう。
→偽のログイン画面を作られてしまい、結果、ログインIDやパスワードなど、個人情報が盗まれる。
※ドメインは正常(以下の例だと、ohsexybaby.com)だから、気づき難い。

■具体例

(1)ユーザーが、不審なメールなどから、悪意のあるサイトを閲覧する
(2)悪意のあるスクリプトが、そのサイトから、ohsexybaby.comに転送される
※この時点では効果は発揮しない
(3)ohsexybaby.comを介して、ユーザーのブラウザに送られる
※ここで悪意のあるスクリプトの効果が発揮される
(4)cookieが盗まれたり、ページの内容を書き換えられたりする

■対処の仕方

サニタイジングをし、スクリプトを無効にする。
つまり、入力データから危険な文字を検出して、置換・除去をする。
危険な文字とは具体的に、
&とか、<とか、>とか、”とか、’とか。

アプリケーションの規模によりけりですが、そこまで対応コストがかかるわけではないので、
きっちり対策をしておきましょう。

Related posts:

  1. 好きなチームに絞ったニュースが読める!!プロ野球ファン最高のAndroidアプリ
  2. プロ野球ファン必見!!試合速報Androidアプリ
  3. WordPressの表示速度を高速化したい!!
  4. ケータイ料金をウィジェットで常にチェックして節約に繋げよう!!
  5. Xperia arc キャッシュクリア,ベンチマーク計測方法