[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

ユニバーサルクロスサイトスクリプティング (UXSS)

pointこの用語のポイント

pointホームページを利用した悪いことだよ

point悪い人がホームページにイタズラする→それを見た訪問者が被害に遭う、な流れだよ

pointホームページを見るソフトの弱点を利用した攻撃だよ

point弱点の無いホームページを見たときでもやられちゃう可能性があるよ

スポンサーリンク

簡単に書くよ

ユニバーサルクロスサイトスクリプティング (UXSS)とは

どんな奴等が相手でもやったるぜ!型クロスサイトスクリプティングのこと。
もう少し具体的に書くと

どんなホームページにも仕込めちゃうぜ!な、悪い人がホームページにイタズラする→訪問者がホームページを見る→被害に遭う、な流れの攻撃のこと
です。
見方を変えると

ホームページを見るソフトの弱点を利用して行う種類のクロスサイトスクリプティング
とも言えます。

image piyo

詳しく書くよ

クロスサイトスクリプティングは「悪い人がホームページにイタズラする→訪問者がホームページを見る→被害に遭う、な流れの攻撃」ね。
脆弱性(放っておくとヤバいところ、弱点)のあるホームページに対して悪い人が何かを仕込み、そのホームページを見てしまった人に悪影響を与える攻撃です。

ユニバーサルクロスサイトスクリプティング

このクロスサイトスクリプティングですが、前提として、弱点のあるホームページに対してしか行えません。
ホームページの弱点を利用する攻撃なので「セキュリティ対策はバッチリだぜ!」なホームページには仕込めないのです。

それなら、そこまで心配する必要は無さそうですね。
良かった、良かった。一安心です。

残念でした。

実は、弱点の無いホームページでもできちゃうぜ!なクロスサイトスクリプティングのやり方があるのです。
それが「ユニバーサルクロスサイトスクリプティング」です。
「ユニバーサル」は「一般的」「普遍的」「全体の」のような意味があります。
つまり「一般的なホームページにもできちゃうぜクロスサイトスクリプティング」です。

普通のクロスサイトスクリプティング(XSS)は、ホームページの弱点を利用します。
それに対してユニバーサルクロスサイトスクリプティング(UXSS)は、ホームページを見るソフトWebブラウザ)の弱点を利用します。

利用するのはホームページを見るソフトの弱点です。
ですから、例え弱点の無いホームページを見るときであっても、弱点のあるソフトを使って見るのであれば、攻撃されちゃう可能性があります。
ホームページを「何で見るか」が問題であって「どこを見るか」は関係無いのです。

ユニバーサルクロスサイトスクリプティング2

つまり、その弱点のあるソフトを使う限り、安心して見られるホームページは無いということです。
よって、ユニバーサルクロスサイトスクリプティングは「ホームページを見るソフトの弱点を利用して行う種類のクロスサイトスクリプティング」とも言えます。

ちなみに、この攻撃に対する対策方法はありません。
せいぜい

・怪しいリンクは押さない
・弱点があると分かっているホームページを見るソフトは使わない


程度でしょう。
根本的な対策はホームページを見るソフトの弱点を潰すことです。
これはソフトを作った人じゃないとできないので、待つしかありません。

image piyo2

一言でまとめるよ

まぁ「ユニバーサルクロスサイトスクリプティング」って単語が出てきたら「ホームページを見るソフトの弱点を利用して行うから、例えホームページに弱点が無くてもできちゃうぜ!なクロスサイトスクリプティングなんだな~」と、お考えください。

一番上に戻るよ
スポンサーリンク