Атаки и угрозы
Межсайтовый скриптинг (XSS)
Также известно как: XSS
Определение
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
Межсайтовый скриптинг (XSS) возникает, когда веб-приложение включает недоверенный ввод в ответ без надлежащего экранирования или санитизации, позволяя контролируемому злоумышленником JavaScript выполняться в браузере жертвы. Основные классы: отражённый XSS (полезная нагрузка приходит в запросе и возвращается), хранимый XSS (нагрузка сохраняется на сервере, например в комментариях) и DOM-based XSS (уязвимость находится в клиентском коде). Успешный XSS позволяет угонять сессии, красть токены, дефейсить страницы, доставлять вредоносное ПО и сочетаться с SSRF и CSRF. Защита: контекстно-зависимое экранирование вывода, строгая Content-Security-Policy, шаблонизаторы фреймворков, HTTPOnly- и SameSite-cookie, валидация ввода.
Примеры
- Хранимая XSS-нагрузка в сообщении форума крадёт cookie-сессии у всех пользователей, открывающих ветку.
- Отражённый XSS в параметре поиска выполняет JavaScript злоумышленника через специально подготовленную ссылку.
Связанные термины
Подделка межсайтовых запросов (CSRF)
Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
Input Validation
Input Validation — definition coming soon.
Output Encoding
Output Encoding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.