クロスサイトスクリプティング

クロスサイトスクリプティングとは、入力項目を持つアプリケーションの脆弱性を利用し、悪意のあるHTMLコードやスクリプトを用いて攻撃を行うことを指します。

入力項目を受け取るプログラム側に適切な処理が施されていない場合、サイトの書き換えや乗っ取りといった被害や、悪意のあるプログラムをサイトに埋め込まれてしまう危険性などが考えられます。

実例としては、

• (1) cookie（クッキー）情報を盗まれることにより、攻撃者がユーザーになりすまし、不正な買い物や個人情報を盗まれる。
• (2) 偽のログイン画面や会員登録画面を作成し、個人情報を盗まれる。

などです。

上に挙げた例で言うと、(1)はユーザーに直接金銭的な被害が及ぶ可能性があります。
(2)については住所、氏名などの個人情報に加え、暗証番号やパスワードといった情報まで攻撃者に取得されてしまいます。

サービスやサイトを運営する自社のみでなく、利用するユーザーにまで被害が及ぶ可能性が高いため、プログラムの脆弱性に対しては常に新しい情報を集める運営体制が必要です。

• 脆弱性
• 悪意のあるコード