クロスサイトスクリプティング(XSS)は、罠ページと脆弱性のあるWebページの2つをまたいで、悪意のあるスクリプトをユーザーのブラウザ上で実行させる仕組みです。攻撃は以下の4つのステップで成立します。
- 攻撃者が罠ページを作成する
脆弱性のあるWebページへのリンクに悪意のあるスクリプトを仕込み、攻撃準備を完了させます。 - ユーザーが罠ページのリンクを踏む
ユーザーが罠ページを閲覧し、スクリプトが埋め込まれたリンクをクリックします。 - 脆弱性のあるWebページへ遷移する
リンクに仕込まれた悪意のあるスクリプトが脆弱性のあるWebページに渡されます。 - スクリプトが実行される
ページの表示タイミングで悪意のあるスクリプトがユーザーのブラウザ上で出力・実行されます。
詳しい仕組みについては「クロスサイトスクリプティングのしくみ」をご覧ください。
