1、XSSの仕組み
前置きが長くなってしまったが、XSSの仕組みについて説明する。XSSを利用して攻撃が行われるのは、ユーザーの入力に対して動的にHTMLページを生成するアプリケーションが対象になる。静的なページ、つまり通常のHTMLページではこの問題は起こらない。
2、XSS攻撃の流れ
a, ユーザーが攻撃者の用意したページにアクセスする
b, リンクを含んだページがブラウザに表示される
c, ユーザーがリンクをクリックする
d, ユーザーが(無意識のうちに)攻撃対象のサイトにスクリプトを含んでアクセスする
e, スクリプトを含んだページがブラウザに表示される
f, ユーザーのブラウザ上でスクリプトが実行される
3、目的
ユーザもらった情報は 脆弱サイトからみたいですけど、 攻撃者サイトからです。
4、特徴
これが最も基本的な場合のステップであるが、ほかにもさまざまなバリエーションがある。このステップで一番ネックになりそうなのが1 と3 で、ユーザーが何らかの操作をしなければならないようになっている。しかし、攻撃者は巧妙な仕掛けで無意識のうちにユーザーが1 と3 の動作をしてしまうような仕組みを作るだろう。
例えば、ユーザーがリンクをクリックするのを待つのではなく、自動的に次のページへ飛ぶような方法がある。「このページは移動しまし た。○○秒後に自動的に移動します」といったページを見掛けることがよくあるが、原理はそれと同じである。このようなページを作成しておけば、3 のステップをユーザーが無意識のうちに行わせてしまうことができる。
参照サイト:http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html