Security

XSS Auditor が有効になっているかチェックするためのページを作りました

投稿日:2019年4月12日 更新日:

1. XSS とは?

XSS (Cross-site Scripting) とは、Webサイト上で行われる攻撃の1つです。

いろいろな種類があるのですが、単純な例をあげると以下のシナリオで任意の JavaScriptコードを実行させる攻撃が XSS です。

  1. 掲示板サイトがあるとします。
  2. 投稿欄に JavaScriptコードを入力して投稿します。
  3. 投稿した内容は Webページ上に表示されますが、HTML として出力される中に JavaScriptコードが含まれていると、そのままこのコードが実行されてしまいます(本来は適切なエスケープ処理が必要です)。

Webサイトによって違いますが、JavaScript を使うと個人情報やそれに紐づく情報を別のサーバーに送信することも可能であるため、とても危険です。

2. XSS を防ぐためのブラウザの機能「XSS Auditor」

Chrome や Safari といったWebブラウザには、XSS を検知する機能が実装されています。検知された JavaScriptコードは実行されません。この機能のことを XSS Auditor と呼ぶようです。

Chrome 78 (2019年8月) で XSS Auditor は削除されました。
参考:XSS Auditor – The Chromium Projects

3. Webブラウザの XSS Auditor 機能が有効かどうか調べる

今回、Webブラウザの XSS Auditor 機能が有効になっているかどうかをチェックするための Webページを作りました。

チェック方法は、[Check XSS Auditor enabled] というボタンを押すだけです。

XSS が検知された場合は、その旨が表示されます。一方、検知されない場合はポップアップウィンドウが開き「1」が表示されます(XSS Auditor が実装されていない場合も当然検知されません)。

また、“Disable XSS Auditor” にチェックを入れると、Webサーバーはこの機能を無効にするためのレスポンスヘッダ(X-XSS-Protection:0)をセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくなります。

詳しくはリンク先を参照してください。

4. 参考

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

no image

HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブ …

no image

OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

目次1. www.owasp.org について2. 関係してそうなカテゴリーページ3. 脆弱性別対策ページApplication ArchitectureCross-site Scripting (X …

no image

セキュリティに関連するリンク集

情報は随時追加します。 目次毎日チェックするとよいウェブページ一般Webアプリケーション関連WordPress関連インシデント 毎日チェックするとよいウェブページ IPA 独立行政法人 情報処理推進機 …

no image

IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント」の重要な部分を抜粋する

目次1. はじめに2. CMS を構築されたウェブサイトを狙う攻撃と対策2.1. 脆弱性やウェブサイトの運用上の不備を悪用2.1.1. ソフトウェアの脆弱性2.1.2. 運用上の不備2.2. 認証を突 …

no image

OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「OS コマンド・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイト …