XSSは、悪意のあるHTML やJavaScript を挿入して実行することを可能にする攻撃です。 これは、重要なデータ (セッション データなど) を Cookie から盗むために使用できます。 このコードは脆弱なアプリケーションのコンテキストで実行され、フィッシング、キーボード ログイン、ユーザーを悪意のある Web サイトにリダイレクトするなどの他の攻撃を実行できます。 "格納されたクロスサイト スクリプティング" の場合、挿入されたコードはアプリケーションに永続的に配置され、攻撃者が被害者に特別に準備されたリンクを送信する必要がある"反映されたクロスサイト スクリプティング" よりも危険です。
研究対象のアプリケーションの1つは、JavaScriptインジェクションの影響を受けやすい多くのパラメータを特定しました。 以下は、悪意のあるコードが赤でマークされたリクエストからの抜粋です。 アラート通知を表示するアクションを実行し、そのような攻撃が可能であることを示す文書のみを対象とします。 実際のハッカー攻撃の間 、XSSを使用する場合は、セッション ケーキを盗むことが多い。
下の図では、 アラート通知を表示するアクションを通じて、被害者のブラウザで悪意のあるコードが実行されていることがわかります。
