Основная идея заключается в возможности выполнения скриптов (например Javascript) на компьютере пользователя.
Основной целью активных XSS атак являются форумы, блоги, гостевые книги и социальные сети. Виды уязвимостей в них перечислены ниже.
Отсутствует проверка html тегов в сообщениях передаваемой серверу
Например различные форумы и гостевые книги позволяют пользователю использовать html теги для форматирования текста. Если фильтрации, вводимых данных отсутствует или недостаточно проработана, то злонамеренный пользователь может использовать такие теги как и для подключения скрипта, например копирования cookie`ов пользователей или незаметного перехода на другой сайт. Исправляется подобная ошибка обычно грамотной настройкой фильтра html тегов
Отсутствует фильтрации параметров в уже разрешенных разрешённых тегов
Например разрешен тег добавления изображения img, однако злоумышленник может в качестве адреса картинки может указать удаленный сервер которой необходимо «задосить» большим количеством запросов
Данная уязвимость, в отличие от предыдущей, не специфична для html форматирования сообщений пользователя. Наиболее ярким примером её является тег img. Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов. Другой вариант подобной атаки - указать параметр onmouseover и выполнить javascript код, при наведении на объект мыши.
- +7 (926) 444-92-82
- dim [at] acolyte.ru
- dim_korol
- 
- 936 766
Отправить комментарий