Съдържание:
- Определение - Какво означава кръстосано скриптиране на сайтове (XSS)?
- Техопедия обяснява кръстосани скриптове на сайта (XSS)
Определение - Какво означава кръстосано скриптиране на сайтове (XSS)?
Cross Site Scripting (XSS) е процесът на добавяне на злонамерен код към истински уебсайт за събиране на информация на потребителя със злонамерено намерение. XSS атаки са възможни чрез уязвимости в сигурността, открити в уеб приложенията и обикновено се експлоатират чрез инжектиране на клиентски скрипт. Въпреки че обикновено се използва JavaScript, някои атакуващи също използват VBScript, ActiveX или Flash.
Техопедия обяснява кръстосани скриптове на сайта (XSS)
Когато успешно се използва уязвимост на XSS, сървърното приложение може да бъде сериозно изложено на големи рискове. Например, потребителите могат да бъдат принудени да изпълняват злонамерени скриптове, когато преглеждат динамично генерирани страници. Друга възможност включва атакуващ да поеме потребителска сесия, преди да изтече съответната й бисквитка. В друг случай невинните потребители могат да бъдат свързани към злонамерен сървър.
На практика във всички сценарии системата на жертвата се атакува чрез използване на самите привилегии на жертвата. След това атаките могат да се превърнат в отвличане на акаунти, кражба на бисквитки, невярна реклама и модификации в потребителските настройки на акаунта на жертвата.
Един от начините за намаляване на рисковете от експлоатацията на XSS е чрез изключване на активни скриптове в браузърите. За съжаление, това също отнема възможността на браузъра да изпълнява динамични уебсайтове и не е реалистично решение за повечето потребители.