攻撃
ウェブセキュリティにおいて、攻撃とは、攻撃者が目的を達成するために使用する特定の手法を指します。例えば、攻撃者の目的がユーザーデータの窃取である場合、クロスサイトスクリプティング (XSS) 攻撃が使用される可能性がある手法の 1 つです。特定の攻撃は、1つまたは複数の緩和策によって対抗することができます。例えば、XSSは、データの正規化とコンテンツセキュリティポリシーの実装によって対抗することができます。
このページは、いくつかの一般的な攻撃の作業方法と、その抑止方法について説明しているページにリンクしています。
- クリックジャッキング
-
クリックジャッキング攻撃では、攻撃者はターゲットサイトを
<iframe>要素内に埋め込んだおとりサイトを作成します。<iframe>を隠し、その上にいくつかのおとり要素を重ねます。 ユーザーがこれらの偽装された要素を操作すると、意図せずにターゲットサイトを操作することになり、意図しないのにターゲットサイト上で操作を実行してしまう可能性があります。 - クロスサイトスクリプティング (XSS)
-
クロスサイトスクリプティング (XSS) 攻撃では、攻撃者が細工した入力がウェブサイトに受け入れられ、この入力がサイトのページに誤って挿入されます。これにより、ブラウザーがコードとして実行します。悪意のあるコードは、サイトのフロントエンドコードが実行できる何らかの操作を行うことができます。