PR

 Webサイトが抱えるソフトウエアのぜい弱性の一つ。主に、ユーザーがWebサイトのフォームに入力したデータをWebサーバーが解釈して、結果をWebブラウザーに表示するようなシステムで問題になる。Webサーバー側に「スクリプトは拒否する」など適切なチェック機能があれば防げる。

 このぜい弱性を悪用した攻撃では、攻撃者が自分で用意したWebページや既存の掲示板に悪意あるスクリプトを含むURLを貼り付けておく。このとき、URLは「信頼性の高いWebサイトのURL+悪意あるスクリプト」といった文字列になるため、一見しただけでは安全に見える。ユーザーがURLをクリックすると、ブラウザーがリンク先のWebサーバーにアクセスするが、該当するページは存在しないため、Webサーバーはエラーページを送り返す。この際、Webサーバーがクロスサイトスクリプティングのぜい弱性を抱えていれば、攻撃者の作った悪意あるスクリプトがユーザーのコンピューターにそのまま渡って実行される。例えばユーザーのCookieを読み出すスクリプトなら、ユーザーのCookieが攻撃者の手に渡り、認証を必要とするWebサービスでのなりすましが可能になることもある。