Оглавление

1. Как работает cross-site scripting
2. Насколько часто встречаются XSS-уязвимости
3. Межсайтовый скриптинг и хактивизм
4. Как защититься от межсайтового скриптинга
5. Заключение

Cross-site scripting (XSS), или межсайтовый скриптинг – это вид атаки, в рамках которого вредоносные скрипты внедряются в контент веб-сайта. Это позволяет хакеру использовать доверенный для пользователя сайт в своих целях, от кражи данных до показа рекламы.

В зависимости от конфигурации и задач злоумышленника, с помощью межсайтового скриптинга можно перехватывать управление сессией, перенаправлять пользователя на вредоносные сайты, «доставлять» ВПО или просто следить за деятельностью пользователя.

В этой статье будут разобраны основные техники скриптинга, причина «популярности» эксплуатации XSS-уязвимостей у хакеров, способы защиты со стороны пользователя и потенциальный ущерб, который может нанести хакер в ходе XSS-атаки. 

Как работает cross-site scripting

Межсетевой скриптинг как техника атаки построен на наличии в любом публичном сервисе уязвимостей, которые можно использовать для внедрения вредоносного кода (скрипта). При этом, как правило, обнаруживаются такие «вставки» уже постфактум, когда первые пользователи понесли издержки из-за взаимодействия с зараженным сайтом и «поделились» этой информацией с технической поддержкой ресурса.

Полный текст на сайте Cyber Media