== webセキュリティ/XSS ==

クロスサイトスクリプティング
http://bakera.jp/glossary/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E8%84%86%E5%BC%B1%E6%80%A7 
{{{
「サイトを跨ってスクリプトを実行する」
}}}

それだけでは、なにが問題か、分からない。　
　他の脆弱性がからむらしい。 -- ToshinoriMaeno <<DateTime(2015-06-01T10:01:49+0900)>>

== どういう問題か ==
EC サイトにXSSを許すような脆弱性があると、  Cookie の値を任意の相手に送信できます。？？

サイトから直接個人情報が漏れるわけではない。

被害が分散するので、気付かれにくい。
-- ToshinoriMaeno <<DateTime(2012-09-12T09:51:12+0900)>>

== 攻撃 ==
XSS脆弱性にはいろいろあって、結果として(スクリプトを読み込んだ側で)が攻撃を受ける。
ECサイトの「なんらかの脆弱性」があることが第一の問題なのだが、
    そこは説明が難しいらしい。
発見するための手法もあるようだが、まとまっていない。

== XSS ==
XSSとは結果としての攻撃法の名称: ブラウザを操る攻撃のひとつだ。
   XSS攻撃を許す脆弱性をもつサイト(web アプリケーション)がある。
脆弱性はさまざまな形で存在する。 (サイト側の防御不十分) 
  その脆弱性を減らす方法は「徳丸本」などにある。 
      人間が守るにはつまらない注意が並んでいる。

----

XSS対策手法のひとつの提案
  http://blog.gijutsuya.jp/harajune/2010/11/19/one-method-for-xss-protection/

----
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
例:
{{{
ユーザーが入力した名前がページの一部となって表示されるアプリケーション
}}}

{{{
任意のスクリプトを実行することもできるだろう。
}}}

実行されるのはブラウザを使っている利用者のPC上である。

---
http://www.acunetix.com/websitesecurity/xss.htm

説明と例題、テストサイト

-----
web (ブラウザ)のセキュリティはまずは[[web/SOP]]を理解するところから始まるようだ。DOMがその第一歩か。 

http://garage4hackers.com/showthread.php?t=6042