Cross-site scripting

Z AMP Sec
Přejít na: navigace, hledání

Cross-site scripting (XSS) je druh zranitelnosti webové aplikace která umožňuje injektovat do webové stránky vlastní kód. O XSS útoku mluvíme když útočník pozmění webovou aplikaci vložením kódu. Obecně se tak děje formou client-side skriptu. Exploitovanou cross-site scripting zranitelnost lze použít pro překonáni kontroly přistupu (třeba k administraci). Tato kategorie zranitelností je nejčastěji využívana pro phishing útoky nebo exploitaci prohlížečů uživatelů prohlížejících obsah napadené a explotované www stránky. Chyba která umožňuje úsěšné provedení útoku ma široký záběr a na XSS lze narazit na libovolném neošetřeném webu nebo webové aplikaci.

Když útočník použije XSS pro odeslání skriptu koncový uživatel nemá šanci poznat opodstatněnost a legitimitu toho co se v jeho prohlížeči spustí a skript provede. Je samozřejmě nutná přítomnost exploitovatelné chyby v prohlížeči. V domněnce, že jde o důveryhodný skript z důvěryhodného zdroje škodlivý kód rázem získa přístup ke cookies, session tokenu nebo dalším citlivým informacím webového prohlížeče.

Články kategorie Security