Cross-site scripting

Z ICT security wiki | airdump.cz
Přejít na: navigace, hledání

Cross-site scripting (XSS) je druh zranitelnosti webové aplikace která umožňuje injektovat do webové stránky vlastní kód. O XSS útoku mluvíme když útočník pozmění webovou aplikaci vložením kódu. Obecně se tak děje formou client-side skriptu. Exploitovanou cross-site scripting zranitelnost lze použít pro překonáni kontroly přistupu (třeba k administraci). Tato kategorie zranitelností je nejčastěji využívana pro phishing útoky nebo exploitaci prohlížečů uživatelů prohlížejících obsah napadené a explotované www stránky. Chyba která umožňuje úsěšné provedení útoku ma široký záběr a na XSS lze narazit na libovolném neošetřeném webu nebo webové aplikaci.

Když útočník použije XSS pro odeslání skriptu koncový uživatel nemá šanci poznat opodstatněnost a legitimitu toho co se v jeho prohlížeči spustí a skript provede. Je samozřejmě nutná přítomnost exploitovatelné chyby v prohlížeči. V domněnce, že jde o důveryhodný skript z důvěryhodného zdroje škodlivý kód rázem získa přístup ke cookies, session tokenu nebo dalším citlivým informacím webového prohlížeče.

Články kategorie Security

Osobní nástroje
Jmenné prostory

Varianty
Akce
Portál AMP
WiKi Navigace
Nástroje