自己XSS

ソーシャルエンジニアリング攻撃

セルフXSS（自己クロスサイトスクリプティング）は、被害者のウェブアカウントを制御するために利用されるセキュリティ脆弱性の一種です。セルフXSS攻撃では、攻撃を受けた被害者は自身のウェブブラウザで悪意のあるコードを実行し、個人情報を攻撃者に公開します。^[1]

概要

セルフXSS（Self Cross-Site Scriptingの略）は、ユーザーを騙して悪意のあるコンテンツをウェブブラウザにコピー＆ペーストさせることで機能します。これは、ユーザーが入力欄にペイロードをコピーする場合と、ウェブ開発者コンソールにコピーする場合の両方に当てはまります。^[1]通常、攻撃者は、特定のコードをコピーして実行することで、ユーザーが仮想報酬を受け取ったり、ウェブサイトをハッキングしたりできるというメッセージを投稿します。実際には、このコードによって攻撃者は被害者のアカウントを乗っ取ることができます。^{[2]セルフXSSは通常、影響は非常に小さいですが、}クロスサイトリクエストフォージェリの脆弱性と連鎖すると、その影響は典型的なクロスサイトスクリプティングと同等にまで拡大します。^[3]

歴史と緩和策

過去にも非常によく似た攻撃が発生しており、ユーザーを騙して悪意のあるJavaScriptをアドレスバーに貼り付けさせようとしました。ブラウザベンダーがアドレスバーからJavaScriptを簡単に実行できないようにすることでこの攻撃を阻止したところ、^[4]^[5]攻撃者は現在の形態のSelf-XSSを使い始めました。WebブラウザベンダーとWebサイトはこの攻撃を軽減するための対策を講じています。Firefox ^[6]とGoogle Chrome ^{[7]はどちらもSelf-XSS攻撃についてユーザーに警告するための安全策を実装し始めています。Facebookなどは}、ユーザーがWeb開発者コンソールを開いたときに警告メッセージを表示し、攻撃の詳細を説明するページへのリンクを提供しています。^[8]^[9]

語源

名前の「self」は、ユーザーが自分自身を攻撃するという事実に由来しています。「XSS」は、クロスサイトスクリプティングの略語に由来しており、どちらの攻撃も正規のサイトで悪意のあるコードを実行することにつながります。しかし、Self-XSSはソーシャルエンジニアリングに依存しているため、他のほとんどのXSS脆弱性に比べて影響ははるかに小さいです。さらに、Web開発者コンソールの使用に起因するSelf-XSSのリスクは、解決可能な他のXSS脆弱性とは異なり、サイト運営者によって排除することはできません^[10]。

参考文献

^ ab Scharr, Jill (2014年7月28日). 「Facebook詐欺、ユーザーを騙してハッキングに誘う」. Tom's Guide US .購入. 2014年9月27日閲覧。
^ 「ソーシャルネットワーキングのセキュリティ脅威」Sophos.nd . 2014年9月27日閲覧。
^ Stephens, Luke (2021年3月25日). 「XSSバグの発見とエスカレーションに関する究極ガイド | @Bugcrowd」. Bugcrowd . 2024年10月4日閲覧。
^ 「バグ 656433 – ロケーションバーに入力された javascript: および data: URL が、現在読み込まれているページのプリンシパルを継承しないようにする」Bugzilla . Mozilla Foundation. 2011年5月11日. 2014年9月28日閲覧。
^ 「問題82181: [Linux] オムニボックスへの貼り付け/ドロップからJavaScript:スキーマを削除する」Google Code . 2011年5月10日. 2014年9月28日閲覧.
^ 「バグ 994134 – コンソールにコードを貼り付ける際に初めてユーザーに警告」Bugzilla . Mozilla Foundation. 2014年4月9日. 2014年9月28日閲覧。
^ 「問題345205: DevTools: 自己XSSへの対処」Google Code、2011年5月10日。 2014年9月28日閲覧。
^ 「セルフXSS詐欺とはどのようなものですか？」Facebookヘルプ。Facebook 。 2014年7月11日。 2014年9月27日閲覧。
^ 「セルフXSSとは？」Facebookヘルプ. Facebook . 2014年7月15日. 2014年9月27日閲覧。
^ Ilascu, Ionut (2014年7月28日). 「ハッカーがFacebookユーザーを騙してクロスサイトスクリプティング（XSS）詐欺を実行」. Softpedia . SoftNews NET SRL . 2014年9月27日閲覧。

さらに読む

ケビン・マッケニー（2011年11月16日）「Facebookスパム攻撃の悪用を回避する4つの方法」GCN 1105 Public Sector Media Group 2014年9月28日閲覧。

[tomsguide-1] Scharr, Jill (2014年7月28日). 「Facebook詐欺、ユーザーを騙してハッキングに誘う」. Tom's Guide US .購入. 2014年9月27日閲覧。

[sophos-2] 「ソーシャルネットワーキングのセキュリティ脅威」Sophos.nd . 2014年9月27日閲覧。

[3] Stephens, Luke (2021年3月25日). 「XSSバグの発見とエスカレーションに関する究極ガイド | @Bugcrowd」. Bugcrowd . 2024年10月4日閲覧。

[firefox656433-4] 「バグ 656433 – ロケーションバーに入力された javascript: および data: URL が、現在読み込まれているページのプリンシパルを継承しないようにする」Bugzilla . Mozilla Foundation. 2011年5月11日. 2014年9月28日閲覧。

[chrome82181-5] 「問題82181: [Linux] オムニボックスへの貼り付け/ドロップからJavaScript:スキーマを削除する」Google Code . 2011年5月10日. 2014年9月28日閲覧.

[firefox994134-6] 「バグ 994134 – コンソールにコードを貼り付ける際に初めてユーザーに警告」Bugzilla . Mozilla Foundation. 2014年4月9日. 2014年9月28日閲覧。

[chrome345205-7] 「問題345205: DevTools: 自己XSSへの対処」Google Code、2011年5月10日。 2014年9月28日閲覧。

[facebookhelp1-8] 「セルフXSS詐欺とはどのようなものですか？」Facebookヘルプ。Facebook 。 2014年7月11日。 2014年9月27日閲覧。

[facebookhelp2-9] 「セルフXSSとは？」Facebookヘルプ. Facebook . 2014年7月15日. 2014年9月27日閲覧。

[softpedia-10] Ilascu, Ionut (2014年7月28日). 「ハッカーがFacebookユーザーを騙してクロスサイトスクリプティング（XSS）詐欺を実行」. Softpedia . SoftNews NET SRL . 2014年9月27日閲覧。