新手のWebアプリ攻撃手法「XSIO」、XSSと同様の影響

「Cross Site Image Overlaying」（XSIO）というWebアプリの脆弱性について解説した論文が公開された。

[ITmedia]

　クロスサイトスクリプティング（XSS）と同種の脆弱性として、「Cross Site Image Overlaying」（XSIO）という脆弱性について解説した論文が公開された。SANS Internet Storm Centerがサイトで紹介している。

　論文はスイスのセキュリティ研究者が執筆し、Webアプリケーションに対する新手の攻撃手法について解説。この攻撃は非常に容易に仕掛けることができ、状況によっては甚大な影響を及ぼすと述べている。

　SANSによれば、XSIOは基本的にはXSSと同じだが、スクリプトの代わりに画像を参照させ、CSSを使ってWebサイトの重要部分に配置されるという。

　防御策はXSSと同様、入出力情報の認証を行うことであり、ユーザーからの入力情報に対するエコーバックはトラブルを招く元だとSANSは指摘している。