勉強前イメージ
クロスサイトスクリプティングは知ってるけど、種類があるらしいよ!
調査
XSS について
XSSとは、クロスサイトスクリプティングと読み
動的サイトに不正なスクリプトを挿入することで、サービスを利用しているエンドユーザーに攻撃行うサイバー攻撃です。
脆弱性の中では特に有名ですが、IPAへの届け出で2021年の4月~6月では最も多く報告されているものになります。
詳細は こちら
XSSの種類
- Reflected XSS
反射型と呼ばれています。
メールやサイトに不正なスクリプトのリンクを設置して脆弱性のあるサイトへ飛ばします。
ユーザに不正なスクリプトを実行させて情報の取得を行います。
スクリプトは送信者へ返ることから反射型と呼ばれています。
- Stored/Persistent XSS
格納型や蓄積型、時速型とも呼ばれています。
webアプリケーションにスクリプトを格納させて、ユーザが閲覧するたびにスクリプトが実行されるものです。
スクリプトが実行され情報が取得されてしまいます。
メールを送ったりしなくてもよいので、効率的ではあります。
- DOM Based XSS
Document Object Modelの略でwebブラウザ上で稼働するjavascript上の脆弱性を使って
webブラウザ上でスクリプトを実行させて情報の取得を行います。
DOM Based XSSはクライアント側だけの処理で攻撃が完了してしまう特徴があります。
勉強後イメージ
種類あるなんて知らなかった・・・・