今回はこあくまからのクリスマスプレゼント企画です！ 情報セキュリティにおけるクロスサイトスクリプティング、SQLインジェクションについてです！

情報セキュリティとは、情報漏れを防ぐ機密性、改ざんを防ぐ完全性、データクラッシュやDDOS攻 撃を防ぐ可用性を維持することをいいます。
今回はその機密性と完全性を脅かすクロスサイトスクリプティングとSQLインジェクションについて教えてもらいました！

クロスサイトスクリプティングとは、Aのサイトにある入力フォームなどから、悪意のあるスクリプ ト（命令）を入力し、次にそのサイトを閲覧したユーザのブラウザがそのスクリプトを知らずに実行 してしまうことで、別のBサイトからウイルスをダウンロードさせたり、悪意あるプログラムを実行してブラウザに含まれるユーザの個人情報などを奪う攻撃のことをいいます。

最初のスクリプトはAのサイトに書き込まれ、次に、アクセスしたユーザのブラウザがそれを 実行することによって別サイトへアクセスさせたり、ブラウザのCookieを別サイトへ転送したりするのです。

たとえば、悪意ある攻撃者がブラウザのCookieを奪うようなスクリプトを仕込んでいたとすると、 ユーザはそのページをブラウザでアクセスしただけで個人情報をとられてしまったりします。

このように第三者によって元のWebページにスクリプトが埋め込まれる可能性のあるセキュリティ上の弱点を、クロスサイトスクリプティングの脆弱性といいます。

そして、そのクロスサイトスクリプティングの脆弱性を衝かれ、システムへの侵入や乗っ取り、個 人情報漏洩をゆるしていまうことが情報セキュリティにとって大変な脅威なのです！ それを防ぐにはフォーム入力にHTMLタグや特殊文字が入力された場合に、それを無効にする処理が必要なのです。

SQLインジェクションは、SQLの利用して不正にデータベースを操作されてしまう攻撃のことをいいます。

SQLとは、リレーショナルデータベースを操作するための言語です。

データベースとは、様々な目的を考慮して様々な情報形式で得られるように、 整理整頓されたデータのあつまりです。

リレーショナルデーターベースは、表（テーブル）によってデータモデルが表現され、複数の表を関連づけて、全てのデータを巨大なデータベースとして活用しています。
そのリレーショナルデータベースを操作する言語がSQLなのです。 Webサイトではユーザのフォームへ入力した値からSQL文を作り、データベースへ入力します。

SQLインジェクションとはこのフォーム入力に不正なSQL文を入力し、データベースから情報を抜き 取ったり改ざんしたり破壊したりする攻撃です。

そこで、SQL文を作るためのフォーム入力ではSQL言語で使われる「;」「'」といった制御文字や特殊文字を無効にする必要があるのです！

「';」や「; #」を除きました。

今回は情報セキュリティについて伊勢さんに教えてもらいました！

こあくまもブログを持っているので、とくにXSSに興味を持ちました。
みなさんのブログは大丈夫ですかー？？チェックしてみてくださいね！