ECサイトなどで使われているWebアプリケーションを改ざんするなどして、利用者のクレジットカード番号などを盗み出す攻撃がWebスキミングです。

スキミングとは、クレジットカードの磁気情報を読み取り、その内容を使ってクレジットカードを偽造する行為であり、クレジットカード読み取り機を不正に改造することなどによって行われます。Webスキミングもクレジットカード情報を盗み出す行為ですが、物理的なカードから情報を読み取るのではなく、ECサイトなどでユーザーが入力したクレジットカード情報を盗む点が大きな違いです。

Webスキミングを行う方法としては、ECサイトのWebアプリケーション、あるいはHTMLを改ざんする方法があります。また、ECサイトが広告配信やアクセス解析などのために利用している外部サービスが送信するスクリプト（サードパーティスクリプト）を改ざんし、クレジットカード情報を窃取する手法も使われています。

特にサードパーティスクリプトはエンドユーザーのWebブラウザーが直接読み込むため、ECサイト側で検知することが難しいといった課題があります。