おすすめ 格安 レンタルサーバー 比較 星の数ほどあるレンタルサーバーから自分のサーバーを見つけよう!

CSSXSS(シーエスエス クロスサイトスクリプティング)

CSSXSS(シーエスエス クロスサイトスクリプティング)

  • スタイルシート(CSS)を利用した際に生じる脆弱性への攻撃方法

CSSXSSとは【CSS Cross Site Scripting:CSS・クロス・サイト・スクリプティング】の略称で、スタイルシート(CSS) を利用した際に生じる脆弱性への攻撃方法です。攻撃者はCSSのインポート機能(ブラウザがスタイルシートを読み込む機能)を利用して、悪意のある情報を含ませたWebページを被害者に閲覧させることにより、被害者の情報を不正に取得します。

最近のWebページでは HTML と CSS がしっかり切り分けて管理されています。HTMLは文書の意味や構造を定義し、CSSでは色やレイアウトなどのデザイン関連が定義され、HTML と CSS で構造と体裁が分離されて文書が記述されています。分離管理する方法として、CSS が定義されたファイルを外部化して HTMLファイル から CSSファイル を呼び出す手法があります。HTMLファイル から CSS を読み込むには、「@import」「addimport」「link」などインポート用のHTMLタグを利用します。インポート機能を利用して読み込まれるファイルは、HTMLファイル が設置されているファイルのドメイン以外に設置されていてもインポートが可能であり、さらに、CSS以外の形式ファイルでもインポートが可能です。

本来はCSS形式のファイルのみがインポートの対象となりますが、別形式のファイルでも読み込んでしまうことが可能で、そこに問題があります。この問題は「Internet Explorer」において発生します。「Internet Explorer」は「{」という記号が含まれている文書をCSSファイルとして認識してしまいます。また、「Shift-jis」で記述されている場合、カタカナの「ボ」や「マ」なども「{」と同じ文字コードとして扱われます。これが脆弱性となり、そこを利用することで悪意のあるファイルを読み込ませ、不正に情報を取得する攻撃が発生してしまします。

CSSXSSは、Googleの「Google Desktop Exposed:Exploiting an Internet Explorer Vulnerability to Phish User Information」で有名になりました。

コメントを残す

サブコンテンツ

最近のコメント

    このページの先頭へ