いろいろと考えさせられますね。XSS の脅威としては単純に Cookie の漏洩だけではないですし。以下、とあるブログサービスの XSS について IPA とやり取りした実例。(もちろん部分的に伏せたり書き換えたりしてます。) 続きを読む 偽装 2.0 です。拡張子よりもっと簡単。こんなメールを送り、相手に「返信」を押させるだけ。 Subject: Phising From: cardinfo@bank.example.com Reply-To: cardinfo@bank.example.com <vuln@phising.example.com> 大至急、カード番号をご連絡ください。安易に「返信」を押さないこと、返信する場合でも宛先は手で入力するか、アドレス帳内の信頼できるエントリから選択することが大切ですね。要はブラウザのアドレスバー並みに気をつけましょうということで。 ちなみに、ち