第7章 エコーバック対策 スクリプト注入: #1 ふたつの攻撃 スクリプト注入を許してしまうWebサーバの挙動 スクリプト注入(Script injection)は、被害者のブラウザに悪意のスクリプト(大部分はJavaScriptのコード)が入り込み、ブラウザの内側からセキュリティ侵害が起こる問題である。 代表的な攻撃として、いわゆる「クロスサイトスクリプティング(XSS)」が挙げられることが多い。これは Webサーバのエコーバック(鸚鵡返し(おうむがえし))のロジックを悪用する攻撃である。もうひとつ、いわゆる「第二攻撃(Second-order XSS)」も挙げられる。 いずれの攻撃においても、スクリプト注入を許してしまう Webサーバは、HTML生成時のスクリプト除染が不備なものである。 参考: CWE-79: Improper Neutralization of Input Duri