クライアントで何か起こるのなんて、しーらない！！！状態？

技術に明るくない人でも、SQLインジェクションは、データベースをこねこねされるということで、すぐに「これはイケナイ！」と反応する人が多いように思います。しかし、XSSはどうも軽く見られている気がしています。

今のページの中に、あたかも自分のサイトのように見えます。そういうもんです＞XSSって。

御社のWebサイトにXSSがあると何が問題なのか？

• ユーザーのアカウントが盗まれる
  • Webサイトがパスワードなどでログインを必要とするならば、そのログイン状態はセッション管理と呼ばれる方法で行われており、その情報はCookieという仕組みで管理している可能性が高いでしょう。XSS脆弱性によって、罠にはまったユーザーのCookie情報が、攻撃者の手に渡ってしまいます。Cookie情報を手に入れた攻撃者は、そのユーザーの権限でログインすることができてしまいます。場合によっては、対象は管理者アカウントかもしれません。
• フィッシングサイトと化す
  • 御社の正規のWebページを装って、攻撃者が偽の入力フォームを設置することができます。御社のWebサイトの信用力を悪用して、罠にはまった利用者の情報（個人情報やクレジットカード番号、パスワードなど）を収集することができてしまいます。
  • 悪意を持った情報（文章や画像など）が掲載される
  • 御社の正規のWebページを装って、御社の信用力を貶めるような悪意を持った文章や画像などの情報を表示することができてしまいます。

ところで、なんで急にXSSの話題を載せてるんだろ＞TIPタソ