ПредишенСледващото

Какво е XSS атака (кръстосана сайт скриптове атаки)

По този начин, като се използва този пример за откриване XSS-уязвимост, но при изготвянето на доклада, помислете за потенциалната вреда, която може да доведе до уязвимост и да го обясня. С това не искам да кажа историята за компанията, каква е XSS, но предложи да се обясни това, което може да се постигне с помощта на уязвимостта и как точно това може да се отрази на техния сайт.

Има три различни вида XSS, което можете да чуете в проучването и писането на доклада:

  • Светлоотразителни XSS: тези атаки не се съхраняват на площадката, което означава, че създаването и прилагането на XSS в искане и отговор.
  • Съхранявана XSS: тези атаки се съхраняват на площадката и често е по-опасно. Те се записват в сървъра и се движат по "нормалните" страниците на нищо неподозиращите потребители.
  • Самостоятелно XSS: тези атаки не се съхраняват на площадката и обикновено се използва като част от човешката заблуда с цел стартиране на XSS ги samim.Kogda търсите уязвимости, ще откриете, че компаниите често не се интересуват от отстраняване на неизправности Self XSS, те са загрижени само за случаи, при които вреда на потребителите им могат да бъдат не причинени от тях, но от някой друг, както в случая със светлоотразителни и съхранявана XSS. Все пак, това не означава, че не трябва да изглежда Self XSS.

Ако установите, ситуация, в която може да се направи самостоятелно XSS, но не спаси, мисля за това как тази уязвимост, ако можете да може да се използва, за да го използвате в комбинация с нещо, което тя не беше Self XSS?

Въпреки че самите пример бе сравнително безобиден, използването на XSS ви позволява да краде потребителски имена, пароли, банкова информация, и така нататък. Въпреки потенциалните вреди определи XSS уязвимости-, обикновено не е сложно и изисква разработчиците да просто щит на входа потребител (точно като в HTML-инжекция), когато тя се показва. Въпреки че някои сайтове като потенциално злонамерени герои са отстранени, когато хакер ги изпраща.

1. Продажба на Shopify

продажби Сайт Shopify27 е проста страница с директен призив за действие - въведете името на продукта и натиснете бутона "Намери продукти". Ето една снимка:

Какво е XSS атака (кръстосана сайт скриптове атаки)

Снимка на продажбите на едро

2. Търговски Gift Card Shopify

Магазин сайт карти за подарък Shopify29 позволява на потребителите да създават свои собствени дизайн за карта за подарък с помощта на HTML-форми, включително качване на файлове кутия, с няколко реда информация за въвеждане на текст, и така нататък. Ето една снимка:

Какво е XSS атака (кръстосана сайт скриптове атаки)

Screenshot форма на подарък карти Shopify магазин

Подкрепете проекта - споделете линка, благодаря!