41 lines
3.5 KiB
Markdown
41 lines
3.5 KiB
Markdown
|
---
|
|||
|
|
title: XSS Cross Site Scripting
|
|||
|
|
localeTitle: XSS Cross Site Scripting
|
|||
|
|
---
|
|||
|
|
## XSS Cross Site Scripting
|
|||
|
|
|
|||
|
|
Cross Site Scripting (XSS) - это тип инъекции кода. Это одна из самых распространенных уязвимостей в Интернете.
|
|||
|
|
|
|||
|
|
XSS обычно включает ввод кода в форму, параметр url или где-либо еще, который принимает пользовательский ввод, который отображается обратно пользователям. Например, представьте себе веб-сайт, на котором был показан ваш профиль пользователя, и вы ввели `<script>alert("HELLO!");</script>` качестве вашего имени пользователя. Если сайт не помешал XSS, каждый пользователь, посетивший ваш профиль, получит всплывающее предупреждение.
|
|||
|
|
|
|||
|
|
#### Различные типы XSS
|
|||
|
|
|
|||
|
|
Существует 3 разных типа XSS.
|
|||
|
|
|
|||
|
|
* Сохраненный XSS
|
|||
|
|
* Светоотражающий XSS
|
|||
|
|
* Основанный на DOM XSS
|
|||
|
|
|
|||
|
|
#### Опасности XSS
|
|||
|
|
|
|||
|
|
Конечно, приведенный выше пример не представляет непосредственной опасности для тех, кто просматривает ваш профиль. Но что, если у вас были более зловещие намерения? Вы можете выполнить некоторый javascript, чтобы показать страницу поддельного входа, и собрать имена пользователей и пароли для других пользователей сайта или просто прочитать файл cookie сеанса, если он небезопасен. Вы можете заставить их посетить другие веб-сайты или выполнить какое-либо действие.
|
|||
|
|
|
|||
|
|
#### Защищать от XSS
|
|||
|
|
|
|||
|
|
* Никогда не доверяйте данным пользователя
|
|||
|
|
* Проверяйте ненадежные данные (проверяйте правильность данных, если они недействительны, отклоняют, а не обрабатывают)
|
|||
|
|
* Безопасные значения белого списка (а не черный список)
|
|||
|
|
* Всегда кодировать вывод
|
|||
|
|
* Кодировка для правильного контекста (атрибуты HTML / HTML / CSS / JSS - все разные)
|
|||
|
|
* Защита файлов cookie (только HTTP и защита могут быть прочитаны только сервером)
|
|||
|
|
* Внедрение политики безопасности контента
|
|||
|
|
|
|||
|
|
#### Дополнительная информация:
|
|||
|
|
|
|||
|
|
Ознакомьтесь с дополнительной информацией о XSS и о шагах, которые вы можете предпринять для защиты от:
|
|||
|
|
|
|||
|
|
[Межсайтовый скриптинг (XSS)](https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) )
|
|||
|
|
|
|||
|
|
[Предупреждение об ошибках OWASP XSS (Cross Site Scripting)](https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)
|
|||
|
|
|
|||
|
|
[Hacksplaining XSS Lesson](https://www.hacksplaining.com/exercises/xss-stored)
|