クロスサイトスクリプティング問題

Security 5月 26, 2005
(Last Updated On: 2018年8月3日)

Xbox 360サイトにクロスサイトスクリプティング問題があったようです。

ところで、SQLインジェクションに比べて、クロスサイトスクリプティングを使ったクレジットカード情報の取得やユーザの成りすましは「技術的に」難しいと考える人もいるかも知れません。しかし、悪用には技術スキルは必要ありません。クロスサイトスクリプティングの仕組みや現在のインターネット環境を考えると脆弱性の悪用は非常に簡単です。

Step1 盗み出したクッキーを保存するサーバを設置(探せば乗っ取れるサーバは直ぐ見つかります)
Step2 ユーザを攻撃対象に誘導するWebサイトまたはメールを送信
Step3 Step1で盗み出したクッキーを使ってユーザに成りすまして悪事を働く

という簡単な手順で脆弱性を悪用できます。
本気のクラッカーならこの程度の事は簡単に実行できてしまいます。

投稿者: yohgaki