Добавить в корзинуПозвонить
Найти в Дзене
WoMBaT

XSS глазами злоумышленника

XSS - это возможность злоумышленника определенным образом интегрировать в страницу сайта-жертвы скрипт, который будет выполнен при ее посещении. Существует два типа XSS уязвимостей — пассивная и активная. Активная уязвимость более опасна, поскольку злоумышленнику достаточно внедрить код в базу или какой-нибудь файл на сервере. Таким образом, все посетители сайта автоматически становятся жертвами. Пассивная уязвимость менее опасна так как, для ее использования уже необходима социальная инженерия(знать ваш адрес, устроить спам-рассылку, убедить человека перейти по "зараженной" ссылке. Кража Cookies Это наиболее часто приводимые XSS-атаки. В Cookies сайты часто хранят ценную информацию (логин и пароль, данные банковских карт). DDoS-атака XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки (много различных запросов, которые не выдерживает сервер) Подделка межсайтовых запросов (CSRF/XSRF) Также имеет косвенное отношение к XSS. Суть заключается в том
Оглавление

XSS - это возможность злоумышленника определенным образом интегрировать в страницу сайта-жертвы скрипт, который будет выполнен при ее посещении.

Существует два типа XSS уязвимостей — пассивная и активная.

Активная уязвимость более опасна, поскольку злоумышленнику достаточно внедрить код в базу или какой-нибудь файл на сервере. Таким образом, все посетители сайта автоматически становятся жертвами.

Пассивная уязвимость менее опасна так как, для ее использования уже необходима социальная инженерия(знать ваш адрес, устроить спам-рассылку, убедить человека перейти по "зараженной" ссылке.

Кража Cookies

Это наиболее часто приводимые XSS-атаки. В Cookies сайты часто хранят ценную информацию (логин и пароль, данные банковских карт).

DDoS-атака

XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки (много различных запросов, которые не выдерживает сервер)

Подделка межсайтовых запросов (CSRF/XSRF)

Также имеет косвенное отношение к XSS. Суть заключается в том, что пользователь, заходит на уязвимый сайт, с которого отправляется запрос на совершение определенных действий (например запрос на перевод денег с вашего счета на счет "хакера").