Реальный пиарСоздание сайтовБезопасность → XSS - cross-site-scripting (межсайтовый скриптинг)

XSS - cross-site-scripting (межсайтовый скриптинг)

теги html

Основная идея заключается в возможности выполнения скриптов (например Javascript) на компьютере пользователя.

Основной целью активных XSS атак являются форумы, блоги, гостевые книги и социальные сети. Виды уязвимостей в них перечислены ниже.

Отсутствует проверка html тегов в сообщениях передаваемой серверу
Например различные форумы и гостевые книги позволяют пользователю использовать html теги для форматирования текста. Если фильтрации, вводимых данных отсутствует или недостаточно проработана, то злонамеренный пользователь может использовать такие теги как и для подключения скрипта, например копирования cookie`ов пользователей или незаметного перехода на другой сайт. Исправляется подобная ошибка обычно грамотной настройкой фильтра html тегов

Отсутствует фильтрации параметров в уже разрешенных разрешённых тегов
Например разрешен тег добавления изображения img, однако злоумышленник может в качестве адреса картинки может указать удаленный сервер которой необходимо «задосить» большим количеством запросов
Данная уязвимость, в отличие от предыдущей, не специфична для html форматирования сообщений пользователя. Наиболее ярким примером её является тег img. Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов. Другой вариант подобной атаки - указать параметр onmouseover и выполнить javascript код, при наведении на объект мыши.


Источник: http://acolyte.ru

Рекомендуем



Маскировка PHP Несколько несложных методик могут помочь вам скрыть PHP, что усложняет работу потенциального взломщика, который пытается найти брешь в вашей системе


Full path disclosure (раскрытие полного пути) Косвенно используется для определения имени пользователя, типа операционной системы, запущенной на сервере, доступности возможных папок


Использование глобальных переменных (Register_Globals) В случае, если значение параметра register_globals ON, перед выполнением вашего кода будут инициализированы различные переменные, например, переменные, переданные при отправке формы