С популярностью веб-технологий веб-приложения становятся все более уязвимыми и подвергаются вредоносным атакам. Межсайтовый скриптинг (XSS) - это типичная атака в веб-приложениях. При использовании уязвимости злоумышленник может выполнить перехват сеансов, кражу файлов cookie, перенаправление вредоносных программ и распространение вредоносных программ.
Уязвимости веб-приложений стали одной из самых серьезных уязвимостей в Интернете. Наиболее распространенными являются атаки межсайтового скриптинга (XSS). Согласно статистике проекта Open Web Application Security top10 - 2017 (OWASP), атаки XSS являются одной из главных уязвимостей веб-приложений в последние годы. XSS - это инъекционная атака. Злоумышленники используют уязвимости веб-приложений для внедрения вредоносного кода сценария через поля ввода веб-страницы, обычно фрагменты сценария JavaScript, и эти вредоносные данные внедряются в удаленную веб-страницу, когда они читаются обратно клиенту. При повторном посещении сайта браузер пользователя автоматически загружает и интерпретирует выполнение этих вредоносных сценариев. Этот тип атаки приведет к тому, что вредоносный скрипт получит любые файлы cookie, токены сеанса и другую конфиденциальную информацию, хранящуюся в браузере или на веб-сайте.
Из-за его практического воздействия исследователи разработали множество методов, которые могут эффективно предотвращать выполнение сценариев при разборе и выполнении HTML. Кроме того, этот метод был реализован как клиентский XSS-фильтр в Google Chrome. Хотя исследователи и разработали вышеуказанные методы и методы для предотвращения атак XSS, атаки XSS все еще существуют в веб-приложениях и все еще очень вредны для веб-приложений.
Типы уязвимостей XSS
Во-первых, уязвимость XSS в основном используется злоумышленником для чтения файлов cookie пользователя веб-сайта или получения пароля учетной записи для входа в систему, замаскированного под веб-сайт входа пользователя, для получения разрешений пользователя.
Атаки XSS, можно разделить на два типа: непостоянные атаки и постоянные атаки. Непостоянные XSS-атаки являются одноразовыми и влияют только на текущее посещение страницы. Это требует от пользователя доступа злоумышленника к измененной ссылке. Когда пользователь заходит по ссылке, встроенный скрипт атаки выполняется браузером пользователя. Для достижения цели атаки. Постоянный XSS будет хранить данные злоумышленника на стороне сервера. Непостоянные XSS-атаки и постоянные XSS-атаки, основанные на внедрении сценариев XSS, можно подразделить на три категории: отражающие XSS-атаки, хранимые XSS-атаки и XSS-атаки на основе DOM.
Уязвимости веб-приложений стали одной из самых серьезных уязвимостей в Интернете. Наиболее распространенными являются атаки межсайтового скриптинга (XSS). Согласно статистике проекта Open Web Application Security top10 - 2017 (OWASP), атаки XSS являются одной из главных уязвимостей веб-приложений в последние годы. XSS - это инъекционная атака. Злоумышленники используют уязвимости веб-приложений для внедрения вредоносного кода сценария через поля ввода веб-страницы, обычно фрагменты сценария JavaScript, и эти вредоносные данные внедряются в удаленную веб-страницу, когда они читаются обратно клиенту. При повторном посещении сайта браузер пользователя автоматически загружает и интерпретирует выполнение этих вредоносных сценариев. Этот тип атаки приведет к тому, что вредоносный скрипт получит любые файлы cookie, токены сеанса и другую конфиденциальную информацию, хранящуюся в браузере или на веб-сайте.
Из-за его практического воздействия исследователи разработали множество методов, которые могут эффективно предотвращать выполнение сценариев при разборе и выполнении HTML. Кроме того, этот метод был реализован как клиентский XSS-фильтр в Google Chrome. Хотя исследователи и разработали вышеуказанные методы и методы для предотвращения атак XSS, атаки XSS все еще существуют в веб-приложениях и все еще очень вредны для веб-приложений.
Типы уязвимостей XSS
Во-первых, уязвимость XSS в основном используется злоумышленником для чтения файлов cookie пользователя веб-сайта или получения пароля учетной записи для входа в систему, замаскированного под веб-сайт входа пользователя, для получения разрешений пользователя.
Атаки XSS, можно разделить на два типа: непостоянные атаки и постоянные атаки. Непостоянные XSS-атаки являются одноразовыми и влияют только на текущее посещение страницы. Это требует от пользователя доступа злоумышленника к измененной ссылке. Когда пользователь заходит по ссылке, встроенный скрипт атаки выполняется браузером пользователя. Для достижения цели атаки. Постоянный XSS будет хранить данные злоумышленника на стороне сервера. Непостоянные XSS-атаки и постоянные XSS-атаки, основанные на внедрении сценариев XSS, можно подразделить на три категории: отражающие XSS-атаки, хранимые XSS-атаки и XSS-атаки на основе DOM.
Просмотр скрытого контента доступен для зарегистрированных пользователей!
Последнее редактирование модератором:
