Skip to main content

Skrypty krzyżowe (cross-site scripting)

Cross-site scripting (XSS) to rodzaj ataku bezpieczeństwa, w którym osoba atakująca wstawia dane, takie jak złośliwy skrypt, do treści na zaufanych stronach internetowych. Ataki te mają miejsce, gdy niezaufane źródło może wstrzyknąć swój własny kod do aplikacji internetowej, a ten złośliwy kod jest zawarty w dynamicznej zawartości wysyłanej do przeglądarki ofiary.

[su_list icon=”icon: hand-o-right” icon_color=”#187bc0″ indent=”-5″]

Gdzie są słabe punkty?

  • Stored (persistent) XSS jest najbardziej szkodliwym typem ataku cross-site scripting. Atakujący wstawia skrypt, zwany również payloadem, który jest na stałe zapisywany w docelowej aplikacji. Na przykład, atakujący umieszcza złośliwy skrypt w blogu, wpisie na forum lub w polu komentarza.
  • Refleksyjny XSS jest najczęściej spotykanym typem luki związanej z cross-site scriptingiem. Atakujący wykorzystuje wiadomości phishingowe i inne metody socjotechniczne, aby nakłonić ofiarę do nieumyślnego wysłania żądania do serwera zawierającego ładunek XSS. Następnie ofiara wykonuje skrypt, który jest renderowany i wykonywany w przeglądarce.
  • DOM-based cross-site scripting to zaawansowany rodzaj ataku XSS, który jest możliwy, gdy skrypt aplikacji internetowej zapisuje dane dostarczone przez użytkownika do DOM ( Document Object Model).
[/su_list]

Masz jeszcze jakieś pytania?

Prosimy o kontakt z nami


Dalsze treści