XSS (Cross Site Scripting) - межсайтовый скриптинг, уязвимость, которой уже около 13 лет, но при этом ее возможности ничуть не ослабли. Причина в том, что тут атака будет идти не совсем на сервер. Атака будет идти уже на пользователей.
Аббревиатура Cross Site Scripting выглядит несколько неправильно на первый взгляд, но причина в том, что аббревиатура CSS уже используется (Cascading Style Sheets, каскадные таблицы стилей).
Что же это за уязвимость?
Чем-то уязвимость напоминает уже описанный PHP-include, вместе с тем кардинально от него отличается. Итак, данная уязвимость позволяет злоумышленнику встраивать в страницу свои скрипты. Сама по себе возможность скриптов не такая опасная, однако она позволяет украсть cookies, в том числе и админские.
Уязвимость бывает двух видов.
(Написал, и прям как то не по душе стало. Надо вернуть премодерацию назад)
Как же бороться с этой напастью?
Во-первых, если вы являетесь администратором, хватит щелкать по всем личным сообщениям. Если неймется, то хоть разлогинься. Если лень - на главной странице тебе напишут, как избавиться от лени, не переживай.
Во-вторых, рекомендуется настроить фильтр < > и других вспомогательных символов. При этом зачастую фильтры есть, но они несколько уязвимы. Примеры можно увидеть тут.
Аббревиатура Cross Site Scripting выглядит несколько неправильно на первый взгляд, но причина в том, что аббревиатура CSS уже используется (Cascading Style Sheets, каскадные таблицы стилей).
Что же это за уязвимость?
Чем-то уязвимость напоминает уже описанный PHP-include, вместе с тем кардинально от него отличается. Итак, данная уязвимость позволяет злоумышленнику встраивать в страницу свои скрипты. Сама по себе возможность скриптов не такая опасная, однако она позволяет украсть cookies, в том числе и админские.
Уязвимость бывает двух видов.
- Пассивная XSS. Хотя она и позволяет злоумышленнику украсть cookies, провернуть ее крайне трудно, потому их не очень любят. Злоумышленник должен сгенерировать вредоносный запрос, дать ссылку админу, убедить его в том, что нужно щелкнуть (социальная инженерия), и в случае, если админ в момент захода был залогинен, злоумышленник получит куки.
- Активная XSS. Тут все просто. Она не требует никаких действий со стороны пользователя, она сработает автоматически при открытии страницы. Пожалуй, тут стоит привести пример.
(Написал, и прям как то не по душе стало. Надо вернуть премодерацию назад)
Как же бороться с этой напастью?
Во-первых, если вы являетесь администратором, хватит щелкать по всем личным сообщениям. Если неймется, то хоть разлогинься. Если лень - на главной странице тебе напишут, как избавиться от лени, не переживай.
Во-вторых, рекомендуется настроить фильтр < > и других вспомогательных символов. При этом зачастую фильтры есть, но они несколько уязвимы. Примеры можно увидеть тут.