cookieを狙う脆弱性 - Shinichi0713/security_specialist GitHub Wiki

セッションハイジャック

攻撃者が利用者のセッションIDを盗み、ユーザーとしてログインすることが出来る。
これは、Secure属性が設定されていないCookieがHTTP接続で送信される場合に発生する。

クロスサイトスクリプティング

攻撃者が悪意あるスクリプトをサイトに注入し、利用者よりCookieを盗むことが出来る。
HttpOnly属性が設定されていない場合、javascriptよりcookieにアクセス可能となる。

クロスサイトフォージュリ

攻撃者が利用者のブラウザを利用して、利用者が意図しない操作を行わせることが出来る。
SameSite属性が適切に設定されていない場合に発生する。