Ce este Scripting între site-uri (XSS), și de ce este o amenințare la adresa securității
Vulnerabilitățile de scripting la nivel de site sunt astăzi cea mai mare problemă de securitate a site-urilor web. Studiile au descoperit că sunt șocant de obișnuit - 55% dintre site-uri conțin vulnerabilități XSS în 2011, potrivit celui mai recent raport al White Hat Security, lansat în iunie 2012. În timp ce majoritatea oamenilor au auzit de viruși de computer O scurtă istorie a celor mai grave virusuri de computere Tot timpul Un scurt istoric al celor mai grave virusuri de calculator din toate timpurile Cuvântul "virus" și asocierea acestuia cu calculatoarele a fost aplicat de omul de știință american Frederick Cohen, care la folosit pentru a descrie "un program care poate" infecta "alte programe prin modificarea acestora pentru a include o posibilă ... Citiți mai multe și alte astfel de probleme, vulnerabilitățile XSS rămân necunoscute persoanei obișnuite.
O vulnerabilitate de scripting pe site-uri web permite unui atacator să execute un cod JavaScript arbitrar (dintr-un alt site) pe o pagină Web. Codul se execută pe pagina web din browserul utilizatorului.
Un exemplu - viermele de viermi de la StalkDaily
Să aruncăm o privire la un atac XSS care a avut loc în trecut cu Twitter. În 2009, viermele StalkDaily Care este diferența dintre un vierme, un troian și un virus? [Explicarea MakeUseOf] Care este diferența dintre un vierme, un troian și un virus? [Explicații în MakeUseOf] Unii oameni numesc orice tip de software rău intenționat un "virus de calculator", dar acest lucru nu este corect. Virușii, viermii și troieni sunt diferite tipuri de software rău intenționat cu comportamente diferite. În special, s-au răspândit în foarte ... Citește mai mult proliferate pe Twitter. Când un utilizator Twitter a vizitat o pagină de profil a unui utilizator infectat, pagina sa de profil a devenit de asemenea infectată, răspândind viermele. Viermele a trimis, de asemenea, tweet-uri din fiecare cont infectat.
Deci, exact cum funcționa viermele StalkDaily? A cuiva cineva serverele de pe Twitter? Nu destul - deși a fost un fel de hack.
Fiecare utilizator Twitter poate seta un scurt bio pe pagina de profil. Utilizatorii introduc text într-o casetă de profil și, odată ce au salvat profilul, textul apare pe pagina lor de profil. Cineva a dat seama că Twitter nu a dezinfectat corespunzător textul introdus din caseta bio (vom ajunge la acest lucru mai târziu) - a plasat doar utilizatorii de text introduși direct în codul sursă al paginii web. Acest lucru a permis unui utilizator să introducă un cod HTMLL