XSS(Cross Site Scripting)
「なりすまし投稿」の手口の一つを紹介します
第一段階
・攻撃者は「悪意のあるWebサイト」を用意します
ターゲットとなる脆弱なサイトへのリンクを設置した罠サイトを設ける
リンクのパラメータ部分に悪意のあるスクリプトを埋め込んでおく
第二段階(図を参照)
(1)利用者が知らずに「悪意のあるWebサイト」にアクセスする
思わずクリックすると
(2)悪意のあるスクリプトを持ったまま新たなページを開く
第三段階(図を参照)
(3)悪意のあるスクリプトを持ったまま「投稿」ページが開く
XSSへの対応が施されたサイトだとスクリプトはエラーになります
XSSへの対応が施されていなければ
悪意のあるスクリプトを埋め込んで本物の「投稿」ページを表示する
(4)利用者のPC上で悪意のあるスクリプトが実行されます
エラーにならなければ、利用者の知らないうちに全て実行されます
注意点
元々XSSへの対応が施されていないサイトだと
「なりすまし投稿」を行うまでも無く
直接「投稿」文章にスクリプトを混入させることもできます
その際、特殊文字のチエックを行っていればこういった危険性はありません
自由に「悪意のあるスクリプト」が動くので、全く意図しないことが発生します
サイトのクッキーが詐取され、なりすましが行われます
本人になりすまして色々なサイトにアクセスされます
ターゲットサイトのページ内容を不正に書き換えられます
入力した情報を攻撃者へ送信されます(個人情報の漏洩)
SNSに攻撃者の指定した内容を書き込まれます
コメントを残す