ページにHTMLタグを埋め込み、スクリプトを実行。
手法、
• HTMLタグを含む入力を行うことで、これを表示する際にタグを動作させる。
• scriptタグを埋め込むことでJavaScript、CSSなども動作させることができる。
• タグを埋め込んだページに善意の第三者がアクセスすると、
スクリプトを使用してリダイレクトやクッキーデータの取得ができてしまう。
• XSSを踏み台にして、次のような二次攻撃が可能。
①クッキーの取得、改ざん→ セッションハイジャック
②別のページヘの強制移動→ クロスサイトリクエストフォージェリ
|
