2008-02-11 攻撃手法-XSS 情報セキュリティ 問題を持つWebサイトを利用し、ターゲットのブラウザで任意のスクリプトを実行させる。 クッキー情報の奪取 Webサイトの改ざん 等が可能。 流れ ユーザが悪意あるWebサイト(悪意のあるスクリプトを含むURLがある)を閲覧 ユーザーがURLのリンクをクリック。→悪意のあるスクリプトを標的Webサイトへ転送。 標的Webサイトの「スクリプトを排除しない欠陥」を介して,スクリプトが効果を発揮する形でブラウザへ戻る スクリプトがブラウザで実行され,クッキーが漏洩したり,ファイルが破壊したりといった被害が発生する 対策 サニタイジング。 Webアプリケーションファイアウォールで不正な入力をはじく。