XSS (англ. Cross Site Scripting — «міжсайтовий скриптинг») — тип вразливості інтерактивних інформаційних систем у вебі. XSS виникає, коли на сторінки, які були згенеровані сервером, з якоїсь причини потрапляють користувацькі скрипти. Специфіка подібних атак полягає в тому, що замість безпосередньої атаки сервера зловмисники використовують вразливий сервер для атаки на користувача.
Для терміну використовують скорочення «XSS», щоб не було плутанини з каскадними таблицями стилів (абревіатура «CSS»).
Довгий час програмісти не приділяли їм належної уваги, вважаючи їх безпечними. Однак ця думка помилкова: на сторінці або в HTTP-Cookie можуть бути досить вразливі дані (наприклад, ідентифікатор сесії адміністратора). На популярному сайті скрипт може влаштувати DoS-атаку.
Класифікація
Пасивні
Пасивні XSS — скрипт не зберігається на сервері уразливого сайту, або він не може автоматично виконатися в браузері жертви. Для спрацьовування пасивної XSS потрібна якась додаткова дія (клік по лінку, вставка певного коду в текстове поле на сайті, тощо), яку повинна виконати жертва. Їх також називають першим типом XSS.
Активні
При активних XSS шкідливий скрипт зберігається на сервері, і спрацьовує в браузері жертви при відкритті сайту, що містить активну XSS. Їх також називають другим типом XSS.
Вразливість
, інженер компанії «CloudFlare» дослідив вебсайти з переліку «Топ мільйон» сайтів за відвідуваністю, обчислений компанією Alexa. Він виявив близько тисячі сайтів з цього переліку, налаштування вебсервера яких надають зловмисникові можливість атакувати користувача із допомогою міжсайтового скриптингу. Він помітив, що вебсервери вразливих сайтів повертають такий саме HTTP-заголовок Access-Control-Allow-Origin, як вказано в HTTP-заголовку Origin в запиті клієнта.
На думку інженера, це створює умови, завдяки яким зловмисник може обійти обмеження правила «Єдиного походження» (англ. Same Origin Policy).
Примітки
- Evan Johnson (Feb 2016). Breaking Same Origin Policy On The Alexa 1 million.[недоступне посилання з липня 2019]
- Martin Anderson (23 Feb 2016). . The Stack. Архів оригіналу за 24 лютого 2016. Процитовано 24 лютого 2016.
Див. також
Це незавершена стаття про Інтернет. Ви можете проєкту, виправивши або дописавши її. |
Ця стаття не містить . (лютий 2016) |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
XSS angl Cross Site Scripting mizhsajtovij skripting tip vrazlivosti interaktivnih informacijnih sistem u vebi XSS vinikaye koli na storinki yaki buli zgenerovani serverom z yakoyis prichini potraplyayut koristuvacki skripti Specifika podibnih atak polyagaye v tomu sho zamist bezposerednoyi ataki servera zlovmisniki vikoristovuyut vrazlivij server dlya ataki na koristuvacha Dlya terminu vikoristovuyut skorochennya XSS shob ne bulo plutanini z kaskadnimi tablicyami stiliv abreviatura CSS Dovgij chas programisti ne pridilyali yim nalezhnoyi uvagi vvazhayuchi yih bezpechnimi Odnak cya dumka pomilkova na storinci abo v HTTP Cookie mozhut buti dosit vrazlivi dani napriklad identifikator sesiyi administratora Na populyarnomu sajti skript mozhe vlashtuvati DoS ataku KlasifikaciyaPasivni Pasivni XSS skript ne zberigayetsya na serveri urazlivogo sajtu abo vin ne mozhe avtomatichno vikonatisya v brauzeri zhertvi Dlya spracovuvannya pasivnoyi XSS potribna yakas dodatkova diya klik po linku vstavka pevnogo kodu v tekstove pole na sajti tosho yaku povinna vikonati zhertva Yih takozh nazivayut pershim tipom XSS Aktivni Pri aktivnih XSS shkidlivij skript zberigayetsya na serveri i spracovuye v brauzeri zhertvi pri vidkritti sajtu sho mistit aktivnu XSS Yih takozh nazivayut drugim tipom XSS Vrazlivist inzhener kompaniyi CloudFlare doslidiv vebsajti z pereliku Top miljon sajtiv za vidviduvanistyu obchislenij kompaniyeyu Alexa Vin viyaviv blizko tisyachi sajtiv z cogo pereliku nalashtuvannya vebservera yakih nadayut zlovmisnikovi mozhlivist atakuvati koristuvacha iz dopomogoyu mizhsajtovogo skriptingu Vin pomitiv sho vebserveri vrazlivih sajtiv povertayut takij same HTTP zagolovok Access Control Allow Origin yak vkazano v HTTP zagolovku Origin v zapiti kliyenta Na dumku inzhenera ce stvoryuye umovi zavdyaki yakim zlovmisnik mozhe obijti obmezhennya pravila Yedinogo pohodzhennya angl Same Origin Policy PrimitkiEvan Johnson Feb 2016 Breaking Same Origin Policy On The Alexa 1 million nedostupne posilannya z lipnya 2019 Martin Anderson 23 Feb 2016 The Stack Arhiv originalu za 24 lyutogo 2016 Procitovano 24 lyutogo 2016 Div takozhJavaScript Hakerska ataka Ce nezavershena stattya pro Internet Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Cya stattya ne mistit posilan na dzherela Vi mozhete dopomogti polipshiti cyu stattyu dodavshi posilannya na nadijni avtoritetni dzherela Material bez dzherel mozhe buti piddano sumnivu ta vilucheno lyutij 2016