Міжсайтовий скриптінг

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

XSS (англ. Cross Site Scripting — «міжсайтовий скриптінг») — тип вразливості інтерактивних інформаційних систем у вебі. XSS виникає, коли на сторінки, які були згенеровані сервером, з якоїсь причини потрапляють користувацькі скрипти. Специфіка подібних атак полягає в тому, що замість безпосередньої атаки сервера зловмисники використовують вразливий сервер для атаки на користувача.

Для терміну використовують скорочення «XSS», щоб не було плутанини з каскадними таблицями стилів (абревіатура «CSS»).

Довгий час програмісти не приділяли їм належної уваги, вважаючи їх безпечними. Однак ця думка помилкова: на сторінці або в HTTP-Cookie можуть бути досить вразливі дані (наприклад, ідентифікатор сесії адміністратора). На популярному сайті скрипт може влаштувати DoS-атаку.

Класификація[ред.ред. код]

Пасивні[ред.ред. код]

Пасивні XSS - скрипт не зберігається на сервері уразливого сайту, або він не може автоматично виконатися в браузері жертви. Для спрацьовування пасивної XSS потрібна якась додаткова дія (клік по лінку, вставка певного коду в текстове поле на сайті, і т.п.), яку повинна виконати жертва. Їх також називають першим типом XSS.

Активні[ред.ред. код]

При активних XSS шкідливий скрипт зберігається на сервері, і спрацьовує в браузері жертви при відкритті сайту що містить активну XSS. Їх також називають другим типом XSS.


Джерела[ред.ред. код]