クロスサイトスクリプティング脆弱性蔓延の現状と対策

高木浩光
独立行政法人 産業技術総合研究所
takagi.hiromitsu@aist.go.jp

Abstract

2000年2月にCERT/CCとMicrosoft Corporationから勧告が発せられた、 「クロスサイトスクリプティング(cross-site scripting)」 と呼ばれるセキュリティ脆弱性の問題は、 特定の製品に固有の問題ではなく、 ウェブアプリケーション開発に携わるすべての技術者が 留意せねばならない極めて普遍性の高い問題であった。 しかし、勧告から一年半あまりが経過した現在でも、 国内の7〜8割の電子商取引サイトが この問題に対策を施していないという実態が判明した。 この現状は、 技術者にこの問題が正しく周知されていないことが原因と考えられる。 日本語による解説文書が少ないうえに、 特にcookie漏洩について言及しているものが少なく、 CERT勧告等では議論が抽象的過ぎるために、 この脆弱性がもたらす危険性の大きさが理解されていないと考えられる。 この論文では、 ウェブアプリケーションに欠陥を作りこんでしまわないために 開発技術者がどの部位に注意を払う必要があるのかを、 実際に欠陥のあったサイトの事例を基にしたケーススタディで示し、 さらに、仮に欠陥があったとしてもできる限り 安全性を高めるための設計手法について議論する。 また、ユーザがこうした欠陥のあるサイトで 被害に遭わないための自衛手段を示す。

Valid XHTML 1.0!