クロスサイトスクリプティングとは

クロスサイトスクリプティング(XSS)とは

クロスサイトスクリプティング(英:cross site scripting)、略称はXSS。
掲示板やSNSなどのテキスト投稿機能のあるWebアプリケーションでは必ず、ユーザが投稿時に(HTMLやJavaScriptなどの)コードを入力しても、機能が働かないようにするエスケープ処理を行う必要があります。この対策を行っていないと、第三者によってWebサイトを自由にコントロールすることができてしまうのです。
このような脆弱性をクロスサイトスクリプティングといいます。ちょっとしたミスで発生してしまうやっかいな脆弱性です。

投稿イメージ

クロスサイトスクリプティングの脅威

HTMLやJavaScriptコードが自由に挿入できるため、コンテンツの書き換えや、Cookie情報の盗難によるなりすまし被害などが発生します。
コンテンツ改ざんによって、悪意のあるサイトへの誘導やマルウェア配布の被害につながります。

脆弱性検査における傾向

クロスサイトスクリプティングは、例えば問い合わせフォームの確認画面など、Webアプリケーションの様々な箇所で発生する可能性があるため、最近ではクロスサイトスクリプティングの検査が開発の発注要件に含まれることが多くなっています。
開発側での目視確認では限界があるため、ツールを利用した脆弱性の検査がお勧めです。

クロスサイトスクリプティングの対策にはVAddyがおすすめ!

VAddyのすべてのプランがクロスサイトスクリプティング検査に対応しています。

VAddyの検査の流れを説明した図

VAddyはお客様のテスト環境のWebサーバに対してHTTPリクエストを実際に送信し、受け取ったレスポンスデータを検証してクロスサイトスクリプティングの有無を判断しています。従来の検査ツールのような、脆弱性検査の専門知識が必要な設定項目はありませんので、お申込みから最短10分でクロスサイトスクリプティング検査ができます。

また、VAddyが提供しているAPIやコマンドラインツールも使えば、CI(Continuous Integration)ツールと連携させて自動化したり、決まった時間に定期実行させるなど、お客様の開発環境に合わせた柔軟な脆弱性検査環境の構築が可能です。

開発の初期段階からリリース直前まで、毎日の脆弱性検査をVAddyが実現します。

VAddyの思想

ユーザーフレンドリー✕高速✕自動化

セキュリティ製品の多くはセキュリティエンジニア向け

セキュリティ製品において、ユーザフレンドリー・速さ・価格と、検査の範囲や深さは、トレードオフの関係です。多くのセキュリティ製品はセキュリティエンジニア向けに設計されており、検査の範囲や項目数を競うように増やしています。それに伴って検査時間も増え、ツールの検査完了までに1日や2日かかる現場も多々あります。またリスクの大小様々な検査レポートが上がり、開発現場ではどこまで修正するのか現場で判断しなければいけません。

VAddyと他社セキュリティエンジニア向けの比較した図です。他社セキュリティエンジニア向け商品は設定項目が多く難しく、VAddyは設定項目が少なく使いやすい商品であることを示してます

セキュリティエンジニアがいない多くの現場で使われるレベルに

VAddyは、開発現場に浸透するセキュリティツールを目指し、従来の製品とは異なる視点・思想で開発しています。
セキュリティエンジニアがいない多くの現場でも、使い続けられる製品として設計しています。

私たちは、セキュリティテストにおいて人が判断している中で機械化できるところを機械化して設定を無くし、誰でも使えるレベルを目指しました。
検査は、自動化や頻繁にリリースされる環境を想定して、検査の速度を上げ、すぐに検査が終わるように検査項目を5つに絞っています。リクスが低いもの・あまり攻撃されないパターンの検査項目を減らし、日々の検査で必ず検査すべきリスクの高い検査項目に限定しています。

これによりVAddyの検査は平均12分以内には終わり、問題を発見した場合も必ず修正すべき項目のみのため、現場での修正の有無の判断が不要になりました。

今まで脆弱性診断ができなかった多くの開発現場で喜ばれ、安全なアプリケーションがあたりまえの世の中を作りたい、VAddyは開発現場に寄り添う製品です。