XSS Сross Site Sсriрting представляет собой очередной вариант атаки, который направлен на пользователей ресурса. Цель данной атаки – похитить конфиденциальную информацию с той или другой мерой ее использования.
В большинстве случаев злоумышленник похищает данные, с помощью которых происходит аутенфикация, в результате чего хищник получает возможность управлять панелью администратора или посещать личные кабинеты пользователей и закрытые файлы.
Конечной целью может быть не только взлом ресурса, но еще и такие моменты, как:
— открытие информации с номерами телефонов;
— информация с номерами карт для выплат, а также доступ к тем или другим платежным системам;
— другие данные конфиденциального характера.
Кроме этого, очень часто XSS применяют для того, чтобы атаковать персональные компьютеры и заразить их вирусом. Также можно встретить подобные моменты для организации специальных фишинг-атак, в результате чего происходит нападение на базу информации или выполнение определенных скриптов.
Есть два варианта таких атак:
- Отраженные. Этот вариант не характеризуется хранением скрипта, который атакует и автоматически выполняется в браузере. Чтобы его реализовать, нужно дополнительное действие, которое и будет выполнять браузер зараженного компьютера.
- Хранимые. Такой вид очень грозный и опасный. Техника его заключается в том, чтобы разместить на страницах атакующего ресурса определенные скрипты, которые будут выполнены. Для реализации не нужно дополнительных моментов со стороны жертвы, так как достаточно будет просто посетить ресурс.
- Безвредные. Этот вид заключается в том, что каждый счетчик, который анализирует количество посещений, можно назвать атакой, ведь он собирает данные о посетителях.
Чтобы защитить себя от вышеуказанных атак, следует непременно проверить фильтрацию параметров, закодировать данные для входа, а также провести экранирование специальных символов.
