クロスサイトスクリプティング攻撃の例 例えば、銀行のオンラインバンクのようなサイトがあったとします。そのサイトに、利用者が質疑応答するような簡単な掲示板機能が用意してあったとしましょう。投稿したテキストがそのまま表示されていくようなものです。 悪意ある人間は、まずどこかにサイトを立ち上げます。そこに、利用者のクッキー情報をサーバーに保存し、攻撃者にメールで知らせる、というスクリプトファイルを用意します。 そしてその銀行の掲示板にごく普通の書き込みをして、最後にそのスクリプトファイルを埋め込む<script>タグを書いておきます。<script>タグは画面に表示されないので、そこに仕掛けがあることに誰も気がつきません。 誰か利用者がその掲示板を開くと、そのスクリプトが読み込まれ、その利用者のクッキー情報がサーバーに保存され、攻撃者にメールで知らされます。攻撃者はそのクッキー情報から「セッションID」というものを取り出します。これは、ユーザーがサイトにログインする際、そのユーザーを識別するために割り当てられる固有のIDです。 攻撃者はすぐさまそのセッションIDを自分のブラウザのクッキー情報に書き込んでオンラインバンクにアクセスします。するとセッションIDから、オンラインバンクのサーバーはその攻撃者が掲示板にアクセスした別の利用者だと認識します。いわゆる「なりすまし」です。後は、アクセスしたオンラインバンクで、その利用者の預金を自分の口座に振り込むだけです。 同様に、ネットショップなどでも同じような手口は使えます。また、多くのユーザーはパスワードを使いまわしているので、アカウント管理ページから連絡先のメールアドレスを変更し、「パスワードを忘れた」としてそのメールアドレスにパスワードを送信させれば、使っているパスワードが手に入ります。後はその利用者のメールアドレスとパスワードを使って、ネットショップなど金銭が発生するメジャーなサイトに片っ端からログインしてまわれば、いくつかログインできるところが見つかるでしょう。後は商品を買い放題、すべて別の場所に発送してから換金するだけです。 対応策としては、ユーザーが送信した情報をそのままWebサイトに表示するような処理を用意しないこと。送信された内容は、すべてスクリプトタグなどを無効化する処理をしてから表示するようにすること。これに尽きます。

１．関連ありません。 ２．メールの話ではありません。 ３．教科書や参考書をお調べください。 ４．ＷＥＢサイトのソフトウエアを修正する。