XSS (Межсайтовый скриптинг) Обновлено: 26/07/2018

XSS Сross Site Sсriрting представляет собой очередной вариант атаки, который направлен на пользователей ресурса. Цель данной атаки – похитить конфиденциальную информацию с той или другой мерой ее использования.

В большинстве случаев злоумышленник похищает данные, с помощью которых происходит аутенфикация, в результате чего хищник получает возможность управлять панелью администратора или посещать личные кабинеты пользователей и закрытые файлы.

Конечной целью может быть не только взлом ресурса, но еще и такие моменты, как:

– открытие информации с номерами телефонов;

– информация с номерами карт для выплат, а также доступ к тем или другим платежным системам;

– другие данные конфиденциального характера.

Кроме этого, очень часто XSS применяют для того, чтобы атаковать персональные компьютеры и заразить их вирусом. Также можно встретить подобные моменты для организации специальных фишинг-атак, в результате чего происходит нападение на базу информации или выполнение определенных скриптов.

Есть два варианта таких атак:

  1. Отраженные. Этот вариант не характеризуется хранением скрипта, который атакует и автоматически выполняется в браузере. Чтобы его реализовать, нужно дополнительное действие, которое и будет выполнять браузер зараженного компьютера.
  2. Хранимые. Такой вид очень грозный и опасный. Техника его заключается в том, чтобы разместить на страницах атакующего ресурса определенные скрипты, которые будут выполнены. Для реализации не нужно дополнительных моментов со стороны жертвы, так как достаточно будет просто посетить ресурс.
  3. Безвредные. Этот вид заключается в том, что каждый счетчик, который анализирует количество посещений, можно назвать атакой, ведь он собирает данные о посетителях.

Чтобы защитить себя от вышеуказанных атак, следует непременно проверить фильтрацию параметров, закодировать данные для входа, а также провести экранирование специальных символов.

Добавить комментарий