攻撃は、ファイルやローカルファイルシステムに保存されているクッキーの内容を表示するなど、CSS(client side scripting)言語が可能なことをすべて実行できるとされている。例えば、下記コードは、拡張HTMLフォームを利用した攻撃を使って、クッキーの内容を表示するHTMLフォームである。
上記の例で JavaScriptが送信されるためには、まず被害者にフォームの「提出」(submit)ボタンをクリックさせる必要があるが、より高度なスクリプト機能を使えば、ページを表示するだけでコードの提出が自動的に実行されるようにすることができる。ハンドル名「Obscure」を使っているある人物が、本件に関するに自動化されたPOC(Proof of Concept)を、http://eyeonsecurity.net/advisories/showMyCookie.html で公開している。
◆検知方法: マイクロソフト社のInternet Explorer 6.0およびそれ以前のバージョンおよびOpera Software ASA社のOpera 6.0およびそれ以前のバージョンに脆弱性があると報告されている。
1. Select the menu choice Tools then Internet Options. 2. Select the Security tab. 3. Highlight the Internet zone and click the Custom Level button. 4. Scroll down in the list to the Scripting heading and choose "Disable" for the Active scripting subheading. 5. Confirm the selection by clicking the OK buttons twice.