Не один сайт не бывает полностью защищён от хакерских атак. Мы часто слышим новости о том, что взломали Apple, Microsoft. Но мало кто задумывается как это происходит. Сейчас буквально за 3 минуты я попытаюсь разжечь в вас желание попробовать, что нибудь "поломать".
Есть такая штука как XSS уязвимость. И она одна из самых первых лезет в голову к хакерам, когда они хотят получить какие либо данные с того или иного сайта.
В чем суть?
Практически на всех сайтах есть поля куда можно что либо написать. Поля ввода, логина, пароля, комментария и прочего. И пользуясь данной уязвимостью (если она есть разумеется), с помощью поля ввода комментария можно получить какие либо данные с сайта.
Любая интернет страница состоит из HTML разметки (язык гипертекстовой разметки), из названия следует, что его задача разметить страницу, на абзац, меню, размеры шрифта, и многое другое. HTML размечает по средствам так называемых тегов. И есть один особенный: вот этот <script>, он отвечает за сценарий которых воспроизведется на странице.
И на пример если бы Яндекс не позаботилась о своей или вашей безопасности, то вот такая строка.
<script>alert(123)</script>
Привела бы к тому, что вы бы увидели вот это:
Но Яндекс позаботились. А вот многие компании нет, они могут забыть, программисты могут пропустить единственное поле с возможность ввода текста, и всё пропало.
Пример, выше - это самое безобидное, что можно придумать. Если на должном уровне знать язык программирования JavaScript, с помощью такой "игрушки" можно наделать много плохих вещей. Но справедливости ради, если вы найдёте такую уязвимость на каком нибудь сайте, и расскажите владельцам где и как вы ее нашли, можете рассчитывать на награду.
На пример Google платит тем хакерам которым удалось взломать их сервера или сайт.
Но прежде чем идти на какой либо сайт и пробовать его взломать, помните - это уголовно наказуемо.
Можете конечно поразвлечься с Alert, но вот если попробовать украсть cookis или запустить червя... Это уже серьёзно. Данная статься не является призывом к действию, и носит больше ознакомительный характер, нежели чем практический.
Однако если всё таки будете пытаться пробовать, отпишитесь в комментариях, на каких сайтах пытались и что получилось.
