XSS は Cookie 漏洩だけではない

XSS脆弱性が存在するサイト上に，偽のログイン画面や個人情報入力画面を作られることのほうが深刻だ

XSS大王の話で私が作った exploit が、まさにそんな感じでしたね。

補足すると、偽フォームを一から作るのではなく、本物サイトのフォームを利用しつつ送信先だけを改竄する攻撃もあります。action属性を書き換えるというのは序の口で、スクリプトで入力値をチェックするタイプのフォームに対し、入力値チェックの関数を上書きするという荒技も……。

XSS脆弱性が悪用されれば，ログイン画面やCookieを用意していない一般企業のホームページでも，偽の個人情報入力フォームを作られる恐れがある。どのようなサイトであっても，XSS脆弱性の被害は深刻になりうる。

個人的な経験としては、過去に

対象となるウェブサイトは、ウェブサイトの性質上、フィッシングに悪用されにくいと考えられますが、どのような悪用手法を想定していますでしょうか。具体的にご説明ください。

……などと質問されたことがあります。ご希望に応えて非常に具体的な exploit を作り、受理していただきましたが。

関連する話題: Web / セキュリティ