Cross Site Sсriрting, или XSS (в переводе с английского - межсайтинговый скриптинг) представляет собой тип уязвимости сайтов, который возникает, если пользовательский скрипт попал в страницы, генерируемые веб-сервисом. На данный момент XSS атаки занимают 15% интернет-атак. С их помощью третьи лица могут получить доступ к пользовательским файлам cookies
и прочей информации, а также затруднить взаимодействие с сайтом, либо внедрить вредоносный код в операционную систему. Процесс раскрутки сайта идет параллельно с разработкой метода защиты от таких атак.
Виды
XSS бывают активными и пассивными в зависимости от механизма исполнения. Первый случай предполагает, что скрипт хранится на сервере сайта и исполняется в пользовательском браузере при попытке открытия любой страницы. Чтобы сработали пассивные XSS требуется выполнить какие-то дополнительные действия со стороны браузера посетителя.
Уязвимости могут быть такими (зависят от канала внедрения кода):
- Форматирование текста в сообщениях на сайте с помощью HTML. Если такие посты не фильтруются должным образом, то в них может быть внедрен тег.
