$XSSとは$ $- 20min-$

$クロスサイトスクリプティング（XSS）とは、攻撃対象のWebサイトの脆弱性を突き$

$攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けること$$で$

$サイトに訪れるユーザーの個人情報などを詐取する攻撃のこと$

https://www.ipa.go.jp/files/000086442.pdf

IPA（情報処理推進機構）の調査では、Webサイトの脆弱性の種類別の届出状況において、「クロスサイトスクリプティング（XSS）」が58%と、続いて「DNS情報の設定不備」が12%と、半数以上を占めている。

$XSSの流れと仕組み$

1. インターネット掲示板などの動的なWebサイトにある入力フォームに罠（脆弱性のあるサイトへ誘導するスクリプトを含んだリンク）を設置する
2. ユーザーがWebサイトを閲覧する
3. 仕組まれた罠が発火し、脆弱性のあるサイトに誘導される
4. ユーザーがこの３のサイトを閲覧する
5. すると何らかの処理、あるいは開いただけで、ユーザーのブラウザ上で不正なスクリプトが実行され、以下のような被害が発生します。

   1. 入力した情報やCookieなどが攻撃者へ漏洩（後程動画でCK）

   2. マルウェアへの感染

      マルウェアとは？ウイルスとの違いは？

   3. なりすまし

$具体的な被害内容$

• セッションハイジャック

セッションハイジャックとは、Webサイト上のIDやCookieをなんらかの方法で不正に入手し
セッションを乗っ取るサイバー攻撃のこと。セッションハイジャックをされてしまうと
サーバ内への侵入や機密情報の搾取、不正出金、クレジットカードの不正利用などの被害に遭う
可能性があります。

• 個人情報の流出

重要な住所、名前、誕生日、カード情報などが搾取された結果、ダークウェブサイトなどで
情報リストとして売却され、パスワードリスト攻撃の標的になったり、情報漏えいを示唆し
金銭要求の脅迫をされてしまうことも。

• Webページの改ざん

実行させる攻撃用のスクリプト次第では、表示させるWebページを改ざんすることもできます。
過去にはクロスサイトスクリプティング（XSS）攻撃で公式サイトを改ざんし
トロイの木馬を設置した結果、ユーザーの個人情報を抜き取るといった被害も起こっています。