|
|
Интересные статьи
|
|
|
|
|
XSS - cross-site-scripting (межсайтовый скриптинг) 
Основная идея заключается в возможности выполнения скриптов (например Javascript) на компьютере пользователя.
Основной целью активных XSS атак являются форумы, блоги, гостевые книги и социальные сети. Виды уязвимостей в них перечислены ниже.
Отсутствует проверка html тегов в сообщениях передаваемой серверу Например различные форумы и гостевые книги позволяют пользователю использовать html теги для форматирования текста. Если фильтрации, вводимых данных отсутствует или недостаточно проработана, то злонамеренный пользователь может использовать такие теги как и для подключения скрипта, например копирования cookie`ов пользователей или незаметного перехода на другой сайт. Исправляется подобная ошибка обычно грамотной настройкой фильтра html тегов
Отсутствует фильтрации параметров в уже разрешенных разрешённых тегов Например разрешен тег добавления изображения img, однако злоумышленник может в качестве адреса картинки может указать удаленный сервер которой необходимо «задосить» большим количеством запросов Данная уязвимость, в отличие от предыдущей, не специфична для html форматирования сообщений пользователя. Наиболее ярким примером её является тег img. Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов. Другой вариант подобной атаки - указать параметр onmouseover и выполнить javascript код, при наведении на объект мыши. Источник: http://acolyte.ru
|
|
|
|