HOMEIPAについて新着情報IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート

本文を印刷する

IPAについて

IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート

DOM Based XSSに関する脆弱性の届出が急増


2013年1月29日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。

 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。

 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、ブラウザのプラグインなどのクライアント側のプログラムに作り込まれてしまう場合があるという特徴があります。

 「DOM Based XSS」は、JavaScriptから動的にHTMLを操作しているアプリ全般に注意が必要な脆弱性です。しかし、本脆弱性を解説した資料が少ないことや、類似の届出が急増したことから、IPAでは本脆弱性の原因や対策方法が理解されにくい状況にあると考えました。

 以上の経緯から、「DOM Based XSS」の脆弱性について解説した資料を公表することにしました。本資料の対象読者は、ウェブサイトの構築や運営に携わる方、およびJavaScriptによる動的なHTML操作をするアプリの開発者の方々を想定しています。

 脆弱性があるコード例と対策のポイントとして、以下の点について紹介・解説しています。本資料が「DOM Based XSS」の脆弱性の理解と対策方針の参考のために活用されることを期待します。

脆弱性があるコード例を4つ紹介
  • リンク情報を動的に出力する処理に問題がある例
  • アクセス解析用のタグの設置方法に問題がある例
  • JavaScriptライブラリに問題がある例
  • ウェブブブラウザのプラグインに問題がある例
対策のポイントを3つ紹介
  • DOM操作用のメソッドやプロパティを使用する方法
  • 文脈に応じてエスケープ処理を施す方法
  • JavaScriptライブラリの問題の場合は、ライブラリをアップデートする方法

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小林/金野/谷口

Tel: 03-5978-7591 Fax: 03-5978-7546 E-mail: 電話番号:03-5978-7591までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/佐々木

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。