うさぎ文学日記 - 御社のWebサイトにXSS (クロスサイトスクリプティング)の脆弱性があると何が問題なのか
クロスサイトスクリプティングではクライアントに影響があって御社のサーバーには被害が及ばないと思われているのではないでしょうか?
クライアントで何か起こるのなんて、しーらない!!!状態?
技術に明るくない人でも、SQLインジェクションは、データベースをこねこねされるということで、すぐに「これはイケナイ!」と反応する人が多いように思います。しかし、XSSはどうも軽く見られている気がしています。
Javascriptが動作するわけですから、Scriptで任意の文書やページを表示させることが出来ます。
今のページの中に、あたかも自分のサイトのように見えます。そういうもんです>XSSって。
御社のWebサイトにXSSがあると何が問題なのか?
- ユーザーのアカウントが盗まれる
- フィッシングサイトと化す
- 御社の正規のWebページを装って、攻撃者が偽の入力フォームを設置することができます。御社のWebサイトの信用力を悪用して、罠にはまった利用者の情報(個人情報やクレジットカード番号、パスワードなど)を収集することができてしまいます。
- 悪意を持った情報(文章や画像など)が掲載される
- 御社の正規のWebページを装って、御社の信用力を貶めるような悪意を持った文章や画像などの情報を表示することができてしまいます。