経営情報システム出題頻度 2/3
クロスサイトスクリプティング
くろすさいとすくりぷてぃんぐ
定義
Webサイトに悪意のあるスクリプトを埋め込み、利用者のブラウザ上で不正なスクリプトを実行させる攻撃。XSSとも略される。
詳細解説
XSSには、反射型(リクエストに含まれるスクリプトがそのままレスポンスに含まれる)、格納型(掲示板等にスクリプトが保存される)、DOM Based型がある。Cookie情報の窃取、セッションハイジャック、偽ページの表示などの被害が生じる。対策には出力時のエスケープ処理、Content Security Policy(CSP)の設定、入力値のバリデーションが有効である。
関連用語
よくある質問
Q. クロスサイトスクリプティングとは何ですか?
A. Webサイトに悪意のあるスクリプトを埋め込み、利用者のブラウザ上で不正なスクリプトを実行させる攻撃。XSSとも略される。
Q. 中小企業診断士試験での位置づけは?
A. 経営情報システムの重要用語です。出題頻度は 2/3 (★2)。 中程度の頻度で出題されます。