Теперь Кью работает в режиме чтения

Мы сохранили весь контент, но добавить что-то новое уже нельзя

Что такое xss уязвимость?

ИнтернетБезопасностьПрограммное обеспечение
Анонимный вопрос
  · 2,5 K
Михаил Крамольник
Отец детей. Увлекаюсь неуязвимостью к болезням. Занимаюсь компьютерами.  · 6 дек 2021
  • XSS атака (межсайтовый скриптинг) состоит в том, что, при переходе по ссылке с первого сайта на второй, хозяин второго сайта может читать Cookies первого сайта.
  • Например, при переходе из соцсети (госуслуг, школьного портала) на посторонний сайт, хозяин постороннего сайта может, выполнив скрипт, продолжить сеанс работы в соцсети от вашего имени.
  • Угон сеанса - это ещё не угон аккаунта, так как его можно завершить, нажав "выход" в соцсети. И сменить пароль без знания старого пароля нарушитель не сможет. Но сможет написать вашим друзьям фишерские сообщения с просьбой проголосовать на чёртикаком сайте за участника конкурса. И это пока XSS без уязвимости.
  • Механизм XSS легально используется для аутентификации на сайтах через соцсети. Поэтому представим ситуацию, когда второй сайт знаком пользователю, и пользователям позволено писать тексты (например, яндекс кью). Если кью имеет XSS уязвимость, то посетитель сайта может оставить на сайте свой скрипт. Скрипт читает Cookies и отправляет на электронную почту нарушителя. Целью нарушителя в данном примере является не угон сессии кью, а угон сессии того сайта, с которого жертва перешла на уязвимую страницу (соцсеть, например).
  • Уязвимость "сохранённый XSS" - это возможность нарушителя размещать свои скрипты на уязвимом сайте. Нарушитель в статье пишет теги <script>..., и при чтении статьи этот скрипт выполняется. Скрипты выполняются не на сервере, а в браузере жертвы.
  • Бывает ещё уязвимость "отражённый XSS", при которой скрипт хранится не на странице, а в отправляемых данных. Я пишу статью со скриптом, и нажимаю "отправить", и, при проверке сервером текста однократно выполняется скрипт. Тогда нарушитель должен подсунуть жертве ссылку, имитирующую такую отправку. При методе передачи параметров GET это не сложно, так как скрипт содержится прямо в строке URL (гиперссылке, адресе).
1 эксперт согласен
Alexey Mirskoy
подтверждает
7 декабря 2021
Ответ достаточно достоверен, в большинстве случаев.
Никита Королев
Студент, учусь на 5 курсе Самарского Университета. Увлекаюсь спортом (футбол, баскетбол)...  · 2 нояб 2018
XSS (Сross-Site Scripting, межсайтовый скриптинг) - тип атаки на веб-системы (в основном сайты), который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Суть подобных атак заключается в том, что... Читать далее