ニュース
» 2007年09月13日 11時00分 公開

新手のWebアプリ攻撃手法「XSIO」、XSSと同様の影響

「Cross Site Image Overlaying」(XSIO)というWebアプリの脆弱性について解説した論文が公開された。

[ITmedia]

 クロスサイトスクリプティング(XSS)と同種の脆弱性として、「Cross Site Image Overlaying」(XSIO)という脆弱性について解説した論文が公開された。SANS Internet Storm Centerがサイトで紹介している。

 論文はスイスのセキュリティ研究者が執筆し、Webアプリケーションに対する新手の攻撃手法について解説。この攻撃は非常に容易に仕掛けることができ、状況によっては甚大な影響を及ぼすと述べている。

 SANSによれば、XSIOは基本的にはXSSと同じだが、スクリプトの代わりに画像を参照させ、CSSを使ってWebサイトの重要部分に配置されるという。

 防御策はXSSと同様、入出力情報の認証を行うことであり、ユーザーからの入力情報に対するエコーバックはトラブルを招く元だとSANSは指摘している。

関連キーワード

XSS | 脆弱性 | Webアプリケーション


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -