Зміст:
Визначення - Що означає перехресне сценарій (XSS)?
Cross Site Scripting (XSS) - це процес додавання зловмисного коду до справжнього веб-сайту для збору інформації користувачів із шкідливим наміром. Атаки XSS можливі через вразливості безпеки, виявлені у веб-додатках, і їх зазвичай експлуатують шляхом введення сценарію на стороні клієнта. Хоча зазвичай використовується JavaScript, деякі зловмисники також використовують VBScript, ActiveX або Flash.
"Техопедія" пояснює сценарій крос-сайтів (XSS)
Коли вразливість XSS успішно експлуатується, серверне додаток може серйозно піддаватися великим ризикам. Наприклад, користувачі можуть примусово виконувати шкідливі сценарії під час перегляду динамічно створених сторінок. Інша можливість передбачає, що зловмисник переймає сеанс користувача до закінчення відповідного файлу cookie сеансу. В іншому випадку невинних користувачів можна підключити до шкідливого сервера.
Практично у всіх сценаріях система жертви атакується шляхом використання самих привілеїв жертви. Потім атаки можуть перетворюватися на викрадення облікових записів, крадіжки файлів cookie, помилкову рекламу та зміни в налаштуваннях користувачів облікового запису жертви.
Один із способів зменшення ризиків експлуатації XSS - вимкнення активного сценарію в браузерах. На жаль, це також забирає можливість браузера виконувати динамічні веб-сайти і не є реалістичним рішенням для більшості користувачів.
